Grupo21 Tarea3

ACTIVIDAD COLABORATIVA TRES
Curso: Diplomado de Profundizacin Cisco

Tutor: Jos Ignacio Cardona
Grupo: 203092_21
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

PROGRAMA INGENIERA DE SISTEMAS
CEAD PALMIRA
NOVIEMBRE, 2017
INTRODUCCIN
El presente documento tiene como propsito el desarrollo de la Actividad Colaborativa tres

del diplomado de Profundizacin Cisco (Diseo e Implementacin de Soluciones Integradas
LAN / WAN), aplicando las temticas y los conceptos vistos en el material bibliogrfico de
la unidad tres: Configuracin de Sistemas de red soportados en VLANs: Introduccin a redes
conmutadas, Configuracin y conceptos bsicos de Switching, VLANs, Conceptos de
Routing, Enrutamiento entre VLANs, Enrutamiento Esttico, de acuerdo a lo indicado en la
gua de actividades entregada por la UNAD a travs del entorno de colaborativo del
diplomado.
Las competencias a desarrollar con la realizacin de la presente actividad, son: Configurar,

verificar y resolver problemas de las VLAN, los enlaces troncales de los switches Cisco, el
enrutamiento entre VLAN, VTP y RSTP.
El documento contiene el desarrollo de las tareas (prcticas de laboratorio) que en total son
diecisiete (17) ejercicios indicados en la gua, correspondientes a las temticas que forman
parte de la Unidad 3 y los cuales son resueltos mediante el uso de la herramienta de
Simulacin PACKET TRACER.
.
Para su elaboracin, se tom en cuenta el material sugerido por la UNAD en la gua de
actividades, en el entorno de aprendizaje prctico y en el entorno de conocimiento del curso,
as como lo indicado por los tutores en las webconferencias y el contenido temtico inmerso
en el curso de CCNA 2 de CISCO.
OBJETIVOS
Objetivo general:
Desarrollar las actividades correspondientes al trabajo colaborativo tres del diplomado de

Profundizacin Cisco (Diseo e Implementacin de Soluciones Integradas LAN / WAN),
con el fin de comprender y aplicar los conceptos fundamentales relacionados con la
configuracin de sistemas de red soportados en VLANs.
Objetivos especficos:
1. Resolver todas las tareas (prcticas de laboratorio) que conforman los diecisiete (17)
ejercicios indicados en la gua de la actividad.
2. Aplicar los conocimientos adquiridos en la unidad tres del diplomado, para el desarrollo
de cada uno de los ejercicios planteados.
3. Realizar los ejercicios haciendo uso de la herramienta de Simulacin PACKET

TRACER.
.
DESARROLLO DE LA ACTIVIDAD
2.1.1.6 Prctica de laboratorio: configuracin de los parmetros bsicos de un switch
Topologa
Tabla de direccionamiento
Gateway
Mscara de predeterminad
Dispositivo Interfaz Direccin IP subred o
S1 VLAN 99 192.168.1.2 255.255.255.0 192.168.1.1
PC-A NIC 192.168.1.10 255.255.255.0 192.168.1.1
Informacin bsica/situacin
Los switches Cisco se pueden configurar con una direccin IP especial, conocida como
interfaz virtual de switch (SVI). La SVI o direccin de administracin se puede usar para
el acceso remoto al switch a fin de ver o configurar parmetros. Si se asigna una direccin IP
a la SVI de la VLAN 1, de manera predeterminada, todos los puertos en la VLAN 1 tienen
acceso a la direccin IP de administracin de SVI.
En esta prctica de laboratorio, armar una topologa simple mediante cableado LAN
Ethernet y acceder a un switch Cisco utilizando los mtodos de acceso de consola y remoto.
Examinar la configuracin predeterminada del switch antes de configurar los parmetros
bsicos del switch. Esta configuracin bsica del switch incluye el nombre del dispositivo,
la descripcin de interfaces, las contraseas locales, el mensaje del da (MOTD), el
direccionamiento IP, la configuracin de una direccin MAC esttica y la demostracin del
uso de una direccin IP de administracin para la administracin remota del switch. La
topologa consta de un switch y un host que solo usa puertos Ethernet y de consola.
Nota: el switch que se utiliza es Cisco Catalyst 2960 con IOS de Cisco versin 15.0(2)
(imagen lanbasek9). Se pueden utilizar otros switches y otras versiones del IOS de Cisco.
Segn el modelo y la versin de IOS de Cisco, los comandos disponibles y los resultados que
se obtienen pueden diferir de los que se muestran en las prcticas de laboratorio.
Nota: asegrese de que el switch se haya borrado y no tenga una configuracin de inicio.
Consulte el apndice A para conocer los procedimientos para inicializar y volver a cargar los
dispositivos.
Recursos necesarios
1 switch (Cisco 2960 con IOS de Cisco versin 15.0(2), imagen lanbasek9 o
comparable)
1 computadora (Windows 7, Vista o XP con un programa de emulacin de terminal,
como Tera Term, y capacidad para Telnet)
Cable de consola para configurar el dispositivo con IOS de Cisco mediante el puerto
de consola
Cable Ethernet, como se muestra en la topologa
Parte 1. tender el cableado de red y verificar la configuracin predeterminada del switch:

En la parte 1, establecer la topologa de la red y verificar la configuracin predeterminada
del switch.
Paso 1. realizar el cableado de red tal como se muestra en la topologa.

a. Realice el cableado de la conexin de consola tal como se muestra en la topologa.
En esta instancia, no conecte el cable Ethernet de la PC-A.
Nota: si utiliza Netlab, puede desactivar F0/6 en el S1, lo que tiene el mismo efecto
que no conectar la PC-A al S1.
b. Con Tera Term u otro programa de emulacin de terminal, cree una conexin de
consola de la PC-A al switch.
Por qu debe usar una conexin de consola para configurar inicialmente el switch? Por qu
no es posible conectarse al switch a travs de Telnet o SSH?
Por que cuando un switch se pone en servicio por primera vez, no tiene conectividad de red
configurada, es decir que no tiene configurada la direccin IP. por lo que no es posible
conectarse al switch por otro medio.
Para administrar el switch de forma remota, este se debe configurar inicialmente a travs del
Puerto de consola.
Paso 2. Verificar la configuracin predeterminada del switch.

En este paso, examinar la configuracin predeterminada del switch, como la configuracin
actual del switch, la informacin de IOS, las propiedades de las interfaces, la informacin de
la VLAN y la memoria flash.
Puede acceder a todos los comandos IOS del switch en el modo EXEC privilegiado. Se debe
restringir el acceso al modo EXEC privilegiado con proteccin con contrasea para evitar el
uso no autorizado, dado que proporciona acceso directo al modo de configuracin global y a
los comandos que se usan para configurar los parmetros de funcionamiento. Establecer las
contraseas ms adelante en esta prctica de laboratorio.
El conjunto de comandos del modo EXEC privilegiado incluye los comandos del modo
EXEC del usuario y el comando configure, a travs del cual se obtiene acceso a los modos
de comando restantes. Use el comando enable para ingresar al modo EXEC privilegiado.
a. Si se parte de la suposicin de que el switch no tena ningn archivo de configuracin
almacenado en la memoria de acceso aleatorio no voltil (NVRAM), usted estar en
la peticin de entrada del modo EXEC del usuario en el switch, con la peticin de
entrada Switch>. Use el comando enable para ingresar al modo EXEC privilegiado.
Switch> enable
Switch#
Observe que el indicador cambia en la configuracin para reflejar el modo EXEC

privilegiado.
Verifique que el archivo de configuracin est limpio con el comando show running-config
del modo EXEC privilegiado. Si se guard un archivo de configuracin anteriormente, se
debe eliminar. Segn cul sea el modelo del switch y la versin del IOS, la configuracin
podra variar. Sin embargo, no debera haber contraseas ni direcciones IP configuradas. Si
su switch no tiene una configuracin predeterminada, borre y recargue el switch.
Nota: en el apndice A, se detallan los pasos para inicializar y volver a cargar los
dispositivos.
b. Examine el archivo de configuracin activa actual.
Switch# show running-config
Cuntas interfaces FastEthernet tiene un switch 2960? 24
Cuntas interfaces Gigabit Ethernet tiene un switch 2960? 2
Cul es el rango de valores que se muestra para las lneas vty? 0-4 y 5 -15 en total
16 lneas de terminal
c. Examine el archivo de configuracin de inicio en la NVRAM.

Switch# show startup-config
startup-config is not present
Por qu aparece este mensaje? El archivo de configuracin no se guard en la

NVRAM
d. Examine las caractersticas de la SVI para la VLAN 1.
Switch# show interface vlan1
Hay alguna direccin IP asignada a la VLAN 1? No

Cul es la direccin MAC de esta SVI? Las respuestas varan.
00d0.bc7c.ad60 (bia 00d0.bc7c.ad60)
Est activa esta interfaz?
Muestra que la Vlan1 esta administrativamente apagada
e. Examine las propiedades IP de la VLAN 1 SVI.

Switch# show ip interface vlan1
Qu resultado ve?
No est configurada la ip, dado que la interface esta administrativamente apagada
f. Conecte el cable Ethernet de la PC-A al puerto 6 en el switch y examine las propiedades
IP de la VLAN 1 SVI. Aguarde un momento para que el switch y la computadora
negocien los parmetros de dplex y velocidad.
Nota: si utiliza Netlab, habilite la interfaz F0/6 en el S1.
Switch# show ip interface vlan1
Qu resultado ve?
No est configurada la ip, dado que la interface esta administrativamente apagada
g. Examine la informacin de la versin del IOS de Cisco del switch.

Switch# show versin
Cul es la versin del IOS de Cisco que est ejecutando el switch?

Versin 12.2 (25) FX
Cul es el nombre del archivo de imagen del sistema?

C2960-LANBASE-M
Cul es la direccin MAC base de este switch? Las respuestas varan.

00D0.BC7C.AD60
h. Examine las propiedades predeterminadas de la interfaz FastEthernet que usa la PC-

A.
Switch# show interface f0/6
La interfaz est activa o desactivada?

Esta activa
Qu hara que una interfaz se active?

Conectarla a un host
Cul es la direccin MAC de la interfaz?

00d0.d3a6.1306 (bia 00d0.d3a6.1306)
Cul es la configuracin de velocidad y de dplex de la interfaz?
Full-duplex, 100Mb/s
i. Examine la configuracin VLAN predeterminada del switch.

Switch# show vlan
Cul es el nombre predeterminado de la VLAN 1? default

Qu puertos hay en esta VLAN? 24 puertos FastEthernet y 2 GigabitEthernet
La VLAN 1 est activa? Si
Qu tipo de VLAN es la VLAN predeterminada? enet
j. Examine la memoria flash.

Ejecute uno de los siguientes comandos para examinar el contenido del directorio
flash.
Switch# show flash
Switch# dir flash:
Los archivos poseen una extensin, tal como .bin, al final del nombre del archivo.
Los directorios no tienen una extensin de archivo.
Cul es el nombre de archivo de la imagen de IOS de Cisco?
c2960-lanbase-mz.122-25.FX.bin
Parte 2 configurar los parmetros bsicos de los dispositivos de red:

En la parte 2, configurar los parmetros bsicos para el switch y la computadora.
Paso 1: configurar los parmetros bsicos del switch, incluidos el nombre de host, las
contraseas locales, el mensaje MOTD, la direccin de administracin y el acceso por Telnet.
En este paso, configurar la computadora y los parmetros bsicos del switch, como el
nombre de host y la direccin IP para la SVI de administracin del switch. La asignacin de
una direccin IP en el switch es solo el primer paso. Como administrador de red, debe
especificar cmo se administra el switch. Telnet y SSH son los dos mtodos de
administracin que ms se usan. No obstante, Telnet no es un protocolo seguro. Toda la
informacin que fluye entre los dos dispositivos se enva como texto no cifrado. Las
contraseas y otra informacin confidencial pueden ser fciles de ver si se las captura
mediante un programa detector de paquetes.
k. Si se parte de la suposicin de que el switch no tena ningn archivo de configuracin

almacenado en la NVRAM, verifique que usted est en el modo EXEC privilegiado.
Introduzca el comando enable si la peticin de entrada volvi a cambiar a Switch>.
Switch> enable
Switch#
l. Ingrese al modo de configuracin global.
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#
La peticin de entrada volvi a cambiar para reflejar el modo de configuracin
global.
m. Asigne el nombre de host del switch.
Switch(config)# hostname S1
S1(config)#
n. Configurar la encriptacin de contraseas.
S1(config)# service password-encryption
S1(config)#
o. Asigne class como contrasea secreta para el acceso al modo EXEC privilegiado.
S1(config)# enable secret class
S1(config)#
p. Evite las bsquedas de DNS no deseadas.
S1(config)# no ip domain-lookup
S1(config)#
q. Configure un mensaje MOTD.
S1(config)# banner motd #
Enter Text message. End with the character #.
Unauthorized access is strictly prohibited. #
r. Para verificar la configuracin de acceso, alterne entre los modos.
S1(config)# exit
S1#
*Mar 1 00:19:19.490: %SYS-5-CONFIG_I: Configured from console by console
S1# exit
S1 con0 is now available
Press RETURN to get started.
Unauthorized access is strictly prohibited.
S1>
Qu teclas de mtodo abreviado se usan para ir directamente del modo de configuracin
global al modo EXEC privilegiado? Ctrl+Z
s. Vuelva al modo EXEC privilegiado desde el modo EXEC del usuario. Introduzca la
contrasea class cuando se le solicite hacerlo.
S1> enable
Password:
S1#
Nota: cuando se introduce la contrasea, esta no se muestra.
t. Ingrese al modo de configuracin global para establecer la direccin IP de la SVI del
switch. Esto permite la administracin remota del switch.
Antes de poder administrar el S1 en forma remota desde la PC-A, debe asignar una
direccin IP al switch. El switch est configurado de manera predeterminada para que
la administracin de este se realice a travs de VLAN 1. Sin embargo, la prctica
recomendada para la configuracin bsica del switch es cambiar la VLAN de
administracin a otra VLAN distinta de la VLAN 1.
Con fines de administracin, utilice la VLAN 99. La seleccin de la VLAN 99 es
arbitraria y de ninguna manera implica que siempre deba usar la VLAN 99.
Primero, cree la nueva VLAN 99 en el switch. Luego, establezca la direccin IP del
switch en 192.168.1.2 con la mscara de subred 255.255.255.0 en la interfaz virtual
interna VLAN 99.
S1# configure terminal
S1(config)# vlan 99
S1(config-vlan)# exit
S1(config)# interface vlan99
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to
down
S1(config-if)# ip address 192.168.1.2 255.255.255.0
S1(config-if)# no shutdown
S1(config-if)# exit
S1(config)#
Observe que la interfaz VLAN 99 est en estado down, aunque haya introducido el
comando no shutdown. Actualmente, la interfaz se encuentra en estado down debido
a que no se asignaron puertos del switch a la VLAN 99.
u. Asigne todos los puertos de usuario a VLAN 99.
S1(config)# interface range f0/1 24,g0/1 - 2
S1(config-if-range)# switchport access vlan 99
S1(config-if-range)# exit
S1(config)#
down
up
Para establecer la conectividad entre el host y el switch, los puertos que usa el host
deben estar en la misma VLAN que el switch. Observe que, en el resultado de arriba,
la interfaz VLAN 1 queda en estado down porque no se asign ninguno de los puertos
a la VLAN 1. Despus de unos segundos, la VLAN 99 pasa al estado up porque ahora
se le asigna al menos un puerto activo (F0/6 con la PC-A conectada).
v. Emita el comando show vlan brief para verificar que todos los puertos de usuario
estn en la VLAN 99.
S1# show vlan brief
VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------
1 default active
99 VLAN0099 active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
w. Configure el Gateway IP predeterminado para el S1. Si no se estableci ningn

Gateway predeterminado, no se puede administrar el switch desde una red remota que
est a ms de un router de distancia. S responde a los pings de una red remota.
Aunque esta actividad no incluye un Gateway IP externo, se debe tener en cuenta que
finalmente conectar la LAN a un router para tener acceso externo. Suponiendo que
la interfaz LAN en el router es 192.168.1.1, establezca el gateway predeterminado
para el switch.
S1(config)# ip default-gateway 192.168.1.1
S1(config)#
x. Tambin se debe restringir el acceso del puerto de consola. La configuracin
predeterminada permite todas las conexiones de consola sin necesidad de introducir
una contrasea. Para evitar que los mensajes de consola interrumpan los comandos,
use la opcin logging synchronous.
S1(config)# line con 0
S1(config-line)# password cisco
S1(config-line)# login
S1(config-line)# logging synchronous
S1(config-line)# exit
S1(config)#
y. Configure las lneas de terminal virtual (vty) para que el switch permita el acceso por
Telnet. Si no configura una contrasea de vty, no puede acceder al switch mediante
telnet.
S1(config)# line vty 0 15
S1(config-line)# password cisco
S1(config-line)# login
S1(config-line)# end
S1#
*Mar 1 00:06:11.590: %SYS-5-CONFIG_I: Configured from console by console
Por qu se requiere el comando login?

Por que habilita la inspeccin del password configurado, es decir, permite mostrar la
peticin de password
Paso 2 configurar una direccin IP en la PC-A.

Asigne a la computadora la direccin IP y la mscara de subred que se muestran en la tabla
de direccionamiento. Aqu se describe una versin abreviada del procedimiento. Para esta
topologa, no se requiere ningn gateway predeterminado; sin embargo, puede introducir
192.168.1.1 para simular un router conectado al S1.
1) Haga clic en el cono Inicio de Windows > Panel de control.

2) Haga clic en Ver por: y elija conos pequeos.
3) Selecciones Centro de redes y recursos compartidos > Cambiar configuracin del
adaptador.
4) Seleccione Conexin de rea local, haga clic con el botn secundario y elija
Propiedades.
5) Seleccione Protocolo de Internet versin 4 (TCP/IPv4) > Propiedades.
6) Haga clic en el botn de opcin Usar la siguiente direccin IP e introduzca la
direccin IP y la mscara de subred.
Parte 3 verificar y probar la conectividad de red

En la parte 3, verificar y registrar la configuracin del switch, probar la conectividad de
extremo a extremo entre la PC-A y el S1, y probar la capacidad de administracin remota
del switch.
Paso 1 mostrar la configuracin del switch.
Desde la conexin de consola en la PC-A, muestre y verifique la configuracin del switch.
El comando show run muestra la configuracin en ejecucin completa, de a una pgina por
vez. Utilice la barra espaciadora para avanzar por las pginas.
Aqu se muestra un ejemplo de configuracin. Los parmetros que configur estn

resaltados en amarillo. Las dems son opciones de configuracin predeterminadas del
IOS.
S1# show run
Building configuration...
Current configuration : 2206 bytes

!
versin 15.0
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname S1
!
boot-start-marker
boot-end-marker
!
enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2
!
no aaa new-model
system mtu routing 1500
!
!
no ip domain-lookup
!
<output omitted>
!
interface FastEthernet0/24
switchport access vlan 99
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan99
ip address 192.168.1.2 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.1.1
ip http server
ip http secure-server
!
banner motd ^C
Unauthorized access is strictly prohibited. ^C
!
line con 0
password 7 104D000A0618
logging synchronous
login
line vty 0 4
password 7 14141B180F0B
login
line vty 5 15
password 7 14141B180F0B
login
!
end
S1#
Verifique la configuracin de la VLAN 99 de administracin.
S1# show interface vlan 99
Vlan99 is up, line protocol is up
Hardware is EtherSVI, address is 0cd9.96e2.3d41 (bia 0cd9.96e2.3d41)
Internet address is 192.168.1.2/24
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:06, output 00:08:45, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
175 packets input, 22989 bytes, 0 no buffer
Received 0 broadcasts (0 IP multicast)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
1 packets output, 64 bytes, 0 underruns
0 output errors, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
Cul es el ancho de banda en esta interfaz? 100000 Kbit
Cul es el estado de la VLAN 99? Arriba (up)
Cul es el estado del protocolo de lnea? Arriba (up)
Paso 2 probar la conectividad de extremo a extremo con ping.

En el smbolo del sistema de la PC-A, haga ping a la direccin de la propia PC-A
primero.
C:\Users\User1> ping 192.168.1.10
En el smbolo del sistema de la PC-A, haga ping a la direccin de administracin de
SVI del S1.
C:\Users\User1> ping 192.168.1.2
Debido a que la PC-A debe resolver la direccin MAC del S1 mediante ARP, es
posible que se agote el tiempo de espera del primer paquete. Si los resultados del ping
siguen siendo incorrectos, resuelva los problemas de configuracin de los parmetros
bsicos del dispositivo. Revise el cableado fsico y el direccionamiento lgico, si es
necesario.
Paso 3. probar y verificar la administracin remota del S1.
Ahora utilizar Telnet para acceder al switch en forma remota. En esta prctica de
laboratorio, la PC-A y el S1 se encuentran uno junto al otro. En una red de produccin, el
switch podra estar en un armario de cableado en el piso superior, mientras que la
computadora de administracin podra estar ubicada en la planta baja. En este paso, utilizar
Telnet para acceder al switch S1 en forma remota mediante la direccin de administracin
de SVI. Telnet no es un protocolo seguro; sin embargo, lo usar para probar el acceso remoto.
Con Telnet, toda la informacin, incluidos los comandos y las contraseas, se enva durante
la sesin como texto no cifrado. En las prcticas de laboratorio posteriores, usar SSH para
acceder a los dispositivos de red en forma remota.
Nota: si utiliza Windows 7, es posible que el administrador deba habilitar el protocolo Telnet.
Para instalar el cliente de Telnet, abra una ventana cmd y escriba pkgmgr /iu:TelnetClient.
A continuacin, se muestra un ejemplo.
C:\Users\User1> pkgmgr /iu:TelnetClient
a. Con la ventana cmd abierta en la PC-A, emita un comando de Telnet para conectarse
al S1 a travs de la direccin de administracin de SVI. La contrasea es cisco.
C:\Users\User1> telnet 192.168.1.2
b. Despus de introducir la contrasea cisco, quedar en la peticin de entrada del modo
EXEC del usuario. Acceda al modo EXEC privilegiado.
c. Escriba exit para finalizar la sesin de Telnet.
Paso 4. guardar el archivo de configuracin en ejecucin del switch.

Guarde la configuracin.
S1# copy running-config startup-config
Destination filename [startup-config]? [Enter]
[OK]
S1#
Parte 4 Administrar la tabla de direcciones MAC

En la parte 4, determinar la direccin MAC que detect el switch, configurar una direccin
MAC esttica en una interfaz del switch y, a continuacin, eliminar la direccin MAC
esttica de esa interfaz.
Paso 1 registrar la direccin MAC del host.
En el smbolo del sistema de la PC-A, emita el comando ipconfig /all para determinar y
registrar las direcciones (fsicas) de capa 2 de la NIC de la computadora.
0030.A330.8708
Paso 2 Determine las direcciones MAC que el switch ha aprendido.

Muestre las direcciones MAC con el comando show mac address-table.
S1# show mac address-table
Cuntas direcciones dinmicas hay? 1
Cuntas direcciones MAC hay en total? 1
La direccin MAC dinmica coincide con la direccin MAC de la PC-A? Si
Paso 3 enumerar las opciones del comando show mac address-table.

a. Muestre las opciones de la tabla de direcciones MAC.
S1# show mac address-table ?
Cuntas opciones se encuentran disponibles para el comando show mac address-
table? 3
b. Emita el comando show mac address-table dynamic para mostrar solo las direcciones
MAC que se detectaron dinmicamente.
S1# show mac address-table dynamic
c. Vea la entrada de la direccin MAC para la PC-A. El formato de direccin MAC para
el comando es xxxx.xxxx.xxxx.
S1# show mac address-table address <PC-A MAC here>
Paso 4 Configure una direccin MAC esttica.

limpie la tabla de direcciones MAC.
Para eliminar las direcciones MAC existentes, use el comando clear mac address-
table del modo EXEC privilegiado.
S1# clear mac address-table dynamic
Verifique que la tabla de direcciones MAC se haya eliminado.

Cuntas direcciones MAC estticas hay?
0
Cuntas direcciones dinmicas hay?

0
Examine nuevamente la tabla de direcciones MAC
Es muy probable que una aplicacin en ejecucin en la computadora ya haya enviado
una trama por la NIC hacia el S1. Observe nuevamente la tabla de direcciones MAC
en el modo EXEC privilegiado para ver si el S1 volvi a detectar la direccin MAC
para la PC-A.
Por qu cambi esto desde la ltima visualizacin?

Por que el switch aprende la direccin MAC de la PC-A
Si el S1 an no volvi a detectar la direccin MAC de la PC-A, haga ping a la

direccin IP de la VLAN 99 del switch desde la PC-A y, a continuacin, repita el
comando show mac address-table.
Configure una direccin MAC esttica.

Para especificar a qu puertos se puede conectar un host, una opcin es crear una
asignacin esttica de la direccin MAC del host a un puerto.
Configure una direccin MAC esttica en F0/6 con la direccin que se registr para
la PC-A en la parte 4, paso 1. La direccin MAC 0050.56BE.6C89 se usa solo como
ejemplo. Debe usar la direccin MAC de su PC-A, que es distinta de la del ejemplo.
S1(config)# mac address-table static 0050.56BE.6C89 vlan 99 interface fastethernet
0/6
Verifique las entradas de la tabla de direcciones MAC.
Cuntas direcciones MAC hay en total? 1
Cuntas direcciones estticas hay? 1
Elimine la entrada de MAC esttica. Ingrese al modo de configuracin global y

elimine el comando escribiendo no delante de la cadena de comandos.
Nota: la direccin MAC 0050.56BE.6C89 se usa solo en el ejemplo. Use la direccin
MAC de su PC-A.
S1(config)# no mac address-table static 0050.56BE.6C89 vlan 99 interface
fastethernet 0/6
Verifique que la direccin MAC esttica se haya borrado.

Cuntas direcciones MAC estticas hay en total? 0
Reflexin
1. Por qu debe configurar las lneas vty para el switch?
Para que el switch permita el acceso por telnet
2. Para qu se debe cambiar la VLAN 1 predeterminada a un nmero de VLAN diferente?

Por seguridad
3. Cmo puede evitar que las contraseas se enven como texto no cifrado?
Con el comando service password-encryption
4. Para qu se debe configurar una direccin MAC esttica en una interfaz de puerto?
Para especificar a que puertos se puede conectar un host
2.2.4.9 Packet Tracer: configuracin de seguridad de puertos de switch
Parte 1: Configurar la seguridad del puerto
a. Acceda a la lnea de comandos del S1 y habilite la seguridad de puertos en Fast Ethernet

0/1 y 0/2.
b. Establezca la seguridad mxima, de modo que solo un dispositivo pueda acceder a los
puertos Fast Ethernet 0/1 y 0/2.
c. Proteja los puertos de modo que la direccin MAC de un dispositivo se detecte de forma
dinmica y se agregue a la configuracin en ejecucin.
d. Establezca la infraccin de manera que no se deshabiliten los puertos Fast Ethernet 0/1 y
0/2 cuando se produzca una infraccin, sino que se descarten los paquetes de origen
desconocido.
e. Deshabilite todos los dems puertos sin utilizar. Sugerencia: utilice la palabra clave range
para aplicar esta configuracin a todos los puertos de forma simultnea.
Parte 2: Verificar la seguridad de puerto
a. En la PC1, haga ping a la PC2.

b. Verifique que la seguridad de puertos est habilitada y que las direcciones MAC de la PC1
y la PC2 se hayan agregado a la configuracin en ejecucin.
c. Conecte la Computadora porttil maliciosa a cualquier puerto de switch no utilizado y

observe que las luces de enlace estn rojas.
d. Habilite el puerto y verifique que la Computadora porttil maliciosa pueda hacer ping a la
PC1 y la PC2. Despus de la verificacin, desactive el puerto conectado a la Computadora
porttil maliciosa.
e. Desconecte la PC2 y conecte la Computadora porttil maliciosa al puerto de la PC2.
Verifique que la Computadora porttil maliciosa no pueda hacer ping a la PC1.
f. Muestre las infracciones de seguridad de puertos correspondientes al puerto al que est

conectada la Computadora porttil maliciosa.
g. Desconecte la Computadora porttil maliciosa y vuelva a conectar la PC2. Verifique que
la PC2 pueda hacer ping a la PC1.
h. Por qu la PC2 puede hacer ping a la PC1, pero la Computadora porttil maliciosa no
puede?
Porque la seguridad del puerto fue asignada al dispositivo y su direccin MAC al que se
configuro en primera instancia (que fue la PC2 al puerto Fa0/2 del switch), lo cual evita que
otros dispositivos con MAC distintas a la inicial puedan acceder a la red por medio de tal
puerto.
2.2.4.11 Prctica de laboratorio: configuracin de caractersticas de seguridad de
switch
Topologa
Gateway
Mscara de predeterminad
Dispositivo Interfaz Direccin IP subred o
R1 G0/1 172.16.99.1 255.255.255.0 N/A
S1 VLAN 99 172.16.99.11 255.255.255.0 172.16.99.1
PC-A NIC 172.16.99.3 255.255.255.0 172.16.99.1
Es muy comn bloquear el acceso e instalar buenas caractersticas de seguridad en
computadoras y servidores. Es importante que los dispositivos de infraestructura de red,
como los switches y routers, tambin se configuren con caractersticas de seguridad.
En esta prctica de laboratorio, seguir algunas de las prcticas recomendadas para configurar
caractersticas de seguridad en switches LAN. Solo permitir las sesiones de SSH y de
HTTPS seguras. Tambin configurar y verificar la seguridad de puertos para bloquear
cualquier dispositivo con una direccin MAC que el switch no reconozca.
Nota: el router que se utiliza en las prcticas de laboratorio de CCNA es un router de
servicios integrados (ISR) Cisco 1941 con IOS de Cisco versin 15.2(4)M3 (imagen
universalk9). El switch que se utiliza es Cisco Catalyst 2960 con IOS de Cisco versin
15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones
del IOS de Cisco. Segn el modelo y la versin de IOS de Cisco, los comandos disponibles
y los resultados que se obtienen pueden diferir de los que se muestran en las prcticas de
laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de
esta prctica de laboratorio para obtener los identificadores de interfaz correctos.
Nota: asegrese de que el router y el switch se hayan borrado y no tengan configuraciones
de inicio. Si no est seguro, solicite ayuda al instructor o consulte las prcticas de laboratorio
anteriores para conocer los procedimientos de inicializacin y recarga de dispositivos.
Recursos necesarios
1 router (Cisco 1941 con IOS de Cisco versin 15.2(4)M3, imagen universal o
similar)
comparable)
1 computadora (Windows 7, Vista o XP con un programa de emulacin de terminal,
como Tera Term)
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los
puertos de consola
Cables Ethernet, como se muestra en la topologa
Parte 1. establecer la topologa e inicializar los dispositivos

En la parte 1, establecer la topologa de la red y borrar cualquier configuracin, si fuera
necesario.

Paso 2. inicializar y volver a cargar el router y el switch.
Si los archivos de configuracin se guardaron previamente en el router y el switch, inicialice
y vuelva a cargar estos dispositivos con los parmetros bsicos.
Parte 2. configurar los parmetros bsicos de los dispositivos y verificar la conectividad

En la parte 2, configure los parmetros bsicos en el router, el switch y la computadora.
Consulte la topologa y la tabla de direccionamiento incluidos al comienzo de esta prctica
de laboratorio para conocer los nombres de los dispositivos y obtener informacin de
direcciones.
Paso 1. configurar una direccin IP en la PC-A.
Paso 2. configurar los parmetros bsicos en el R1.

a. Configure el nombre del dispositivo.
b. Desactive la bsqueda del DNS.
c. Configure la direccin IP de interfaz que se muestra en la tabla de direccionamiento.
d. Asigne class como la contrasea del modo EXEC privilegiado.
e. Asigne cisco como la contrasea de vty y la contrasea de consola, y habilite el inicio
de sesin.
f. Cifre las contraseas de texto no cifrado.
g. Guarde la configuracin en ejecucin en la configuracin de inicio.
Paso 3. configurar los parmetros bsicos en el S1.
Una buena prctica de seguridad es asignar la direccin IP de administracin del switch a
una VLAN distinta de la VLAN 1 (o cualquier otra VLAN de datos con usuarios finales). En
este paso, crear la VLAN 99 en el switch y le asignar una direccin IP.
a. Configure el nombre del dispositivo.
c. Asigne class como la contrasea del modo EXEC privilegiado.
d. Asigne cisco como la contrasea de vty y la contrasea de consola, y luego habilite
el inicio de sesin.
e. Configure un gateway predeterminado para el S1 con la direccin IP del R1.
g. Guarde la configuracin en ejecucin en la configuracin de inicio.
h. Cree la VLAN 99 en el switch y asgnele el nombre Management.

S1(config)# vlan 99
S1(config-vlan)# name Management
S1(config-vlan)# exit
S1(config)#
i. Configure la direccin IP de la interfaz de administracin VLAN 99, tal como se

muestra en la tabla de direccionamiento, y habilite la interfaz.
S1(config)# interface vlan 99
S1(config-if)# ip address 172.16.99.11 255.255.255.0
S1(config-if)# end
S1#
j. Emita el comando show vlan en el S1. Cul es el estado de la VLAN 99?

Activa
k. Emita el comando show ip interface brief en el S1. Cul es el estado y el protocolo

para la interfaz de administracin VLAN 99?
El estado es arriba (up) y el protocolo abajo (down)
Por qu el protocolo figura como down, a pesar de que usted emiti el comando no
shutdown para la interfaz VLAN 99?
Por que la vlan 99 no tiene ningn puerto activo, es decir, no tiene ningn puerto
asignado an.
l. Asigne los puertos F0/5 y F0/6 a la VLAN 99 en el switch.
S1# config t
S1(config)# interface f0/5
S1(config-if)# switchport mode access
S1(config-if)# switchport access vlan 99
S1(config-if)# interface f0/6
S1(config-if)# switchport mode access
S1(config-if)# end
m. Emita el comando show ip interface brief en el S1. Cul es el estado y el protocolo
que se muestra para la interfaz VLAN 99?
El estado es arriba (up) y el protocolo arriba (up)
Nota: puede haber una demora mientras convergen los estados de los puertos.
Paso 4. verificar la conectividad entre los dispositivos.

n. En la PC-A, haga ping a la direccin de gateway predeterminado en el R1. Los pings
se realizaron correctamente? Si
o. En la PC-A, haga ping a la direccin de administracin del S1. Los pings se
realizaron correctamente? Si
p. En el S1, haga ping a la direccin de gateway predeterminado en el R1. Los pings
se realizaron correctamente? Si
q. En la PC-A, abra un navegador web y acceda a http://172.16.99.11. Si le solicita un

nombre de usuario y una contrasea, deje el nombre de usuario en blanco y utilice la
contrasea class. Si le solicita una conexin segura, conteste No. Pudo acceder a la
interfaz web en el S1? No
r. Cierre la sesin del explorador en la PC-A.
Nota: la interfaz web no segura (servidor HTTP) en un switch Cisco 2960 est habilitada
de manera predeterminada. Una medida de seguridad frecuente es deshabilitar este
servicio, tal como se describe en la parte 4.
Parte 3. configurar y verificar el acceso por SSH en el S1

Paso 1. configurar el acceso por SSH en el S1.
a. Habilite SSH en el S1. En el modo de configuracin global, cree el nombre de
dominio CCNA-Lab.com.
S1(config)# ip domain-name CCNA-Lab.com
b. Cree una entrada de base de datos de usuarios local para que se utilice al conectarse
al switch a travs de SSH. El usuario debe tener acceso de nivel de administrador.
Nota: la contrasea que se utiliza aqu NO es una contrasea segura. Simplemente se
usa a los efectos de esta prctica de laboratorio.
S1(config)# username admin privilege 15 secret sshadmin
c. Configure la entrada de transporte para que las lneas vty permitan solo conexiones
SSH y utilicen la base de datos local para la autenticacin.
S1(config)# line vty 0 15
S1(config-line)# transport input ssh
S1(config-line)# login local
S1(config-line)# exit
d. Genere una clave criptogrfica RSA con un mdulo de 1024 bits.
S1(config)# crypto key generate rsa modulus 1024
The name for the keys will be: S1.CCNA-Lab.com
% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 3 seconds)
S1(config)#
S1(config)# end
e. Verifique la configuracin de SSH y responda las siguientes preguntas.

S1# show ip ssh
Qu versin de SSH usa el switch? version 1.99
Cuntos intentos de autenticacin permite SSH? 3
Cul es la configuracin predeterminada de tiempo de espera para SSH?
120 segundos
Paso 2. modificar la configuracin de SSH en el S1.
Modifique la configuracin predeterminada de SSH.
S1# config t
S1(config)# ip ssh time-out 75
S1(config)# ip ssh authentication-retries 2
Cuntos intentos de autenticacin permite SSH? 2

Cul es la configuracin de tiempo de espera para SSH? 75 segundos
Paso 3. verificar la configuracin de SSH en el S1.

Mediante un software de cliente SSH en la PC-A (como Tera Term), abra una
conexin SSH en el S1. Si recibe un mensaje en el cliente SSH con respecto a la clave
de host, acptela. Inicie sesin con el nombre de usuario admin y la contrasea class.
La conexin se realiz correctamente? Si
Qu peticin de entrada se mostr en el S1? Por qu?

Pidi el password para el usuario admin, y al ingresar la contrasea class volvio a
pedir password dado que esa no es la contrasea establecida. Se ingreso la contrasea
sshadmin y se conect al switch.
Escriba exit para finalizar la sesin de SSH en el S1.

Parte 4. configurar y verificar las caractersticas de seguridad en el S1
En la parte 4, desactivar los puertos sin utilizar, desactivar determinados servicios que se
ejecutan en el switch y configurar la seguridad de puertos segn las direcciones MAC. Los
switches pueden estar sujetos a ataques de desbordamiento de la tabla de direcciones MAC,
a ataques de suplantacin de direcciones MAC y a conexiones no autorizadas a los puertos
del switch. Configurar la seguridad de puertos para limitar la cantidad de direcciones MAC
que se pueden detectar en un puerto del switch y para deshabilitar el puerto si se supera ese
nmero.
Paso 1. configurar las caractersticas de seguridad general en el S1.

a. Configure un aviso de mensaje del da (MOTD) en el S1 con un mensaje de
advertencia de seguridad adecuado.
b. Emita un comando show ip interface brief en el S1. Qu puertos fsicos estn

activos?
Los puertos FastEthernet 0/5 y FastEthernet 0/6
c. Desactive todos los puertos sin utilizar en el switch. Use el comando interface range.
S1(config)# interface range f0/1 4
S1(config-if-range)# shutdown
S1(config-if-range)# interface range f0/7 24
S1(config-if-range)# interface range g0/1 2
S1(config-if-range)# end
S1#
d. Emita el comando show ip interface brief en el S1. Cul es el estado de los puertos
F0/1 a F0/4?
Administrativamente apgado (administratively down)
e. Emita el comando show ip http server status.
Cul es el estado del servidor HTTP?
Qu puerto del servidor utiliza?
Cul es el estado del servidor seguro de HTTP?
Qu puerto del servidor seguro utiliza?
f. Las sesiones HTTP envan todo como texto no cifrado. Deshabilite el servicio HTTP
que se ejecuta en el S1.
S1(config)# no ip http server
g. En la PC-A, abra una sesin de navegador web a http://172.16.99.11. Cul fue el

resultado?
Server Reset Connection
h. En la PC-A, abra una sesin segura de navegador web en https://172.16.99.11. Acepte
el certificado. Inicie sesin sin nombre de usuario y con la contrasea class. Cul
fue el resultado?
Server Reset Connection
i. Cierre la sesin web en la PC-A.
Paso 2. configurar y verificar la seguridad de puertos en el S1.

a. Registre la direccin MAC de G0/1 del R1. Desde la CLI del R1, use el comando
show interface g0/1 y registre la direccin MAC de la interfaz.
R1# show interface g0/1
GigabitEthernet0/1 is up, line protocol is up
Hardware is CN Gigabit Ethernet, address is 30f7.0da3.1821 (bia 3047.0da3.1821)
Cul es la direccin MAC de la interfaz G0/1 del R1?
00d0.ba1d.ce02
b. Desde la CLI del S1, emita un comando show mac address-table en el modo EXEC
privilegiado. Busque las entradas dinmicas de los puertos F0/5 y F0/6. Regstrelos a
continuacin.
Direccin MAC de F0/5: 00d0.ba1d.ce02
Direccin MAC de F0/6: 00d0.ffee.18ea
c. Configure la seguridad bsica de los puertos.

Nota: normalmente, este procedimiento se realizara en todos los puertos de acceso
en el switch. Aqu se muestra F0/5 como ejemplo.
1) Desde la CLI del S1, ingrese al modo de configuracin de interfaz para el puerto
que se conecta al R1.
2) Desactive el puerto.
S1(config-if)# shutdown
3) Habilite la seguridad de puertos en F0/5.
S1(config-if)# switchport port-security
Nota: la introduccin del comando switchport port-security establece la cantidad
mxima de direcciones MAC en 1 y la accin de violacin en shutdown. Los
comandos switchport port-security maximum y switchport port-security violation se
pueden usar para cambiar el comportamiento predeterminado.
4) Configure una entrada esttica para la direccin MAC de la interfaz G0/1 del R1
registrada en el paso 2a.
S1(config-if)# switchport port-security mac-address xxxx.xxxx.xxxx
(xxxx.xxxx.xxxx es la direccin MAC real de la interfaz G0/1 del router)
Nota: de manera optativa, puede usar el comando switchport port-security mac-
address sticky para agregar todas las direcciones MAC seguras que se detectan
dinmicamente en un puerto (hasta el mximo establecido) a la configuracin en
ejecucin del switch.
5) Habilite el puerto del switch.
S1(config-if)# end
d. Verifique la seguridad de puertos en F0/5 del S1 mediante la emisin de un comando

show port-security interface.
S1# show port-security interface f0/5
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses :1
Total MAC Addresses :1
Configured MAC Addresses : 1
Sticky MAC Addresses :0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
Cul es el estado del puerto de F0/5?
Secure-up
e. En el smbolo del sistema del R1, haga ping a la PC-A para verificar la
conectividad.
R1# ping 172.16.99.3
f. Ahora violar la seguridad mediante el cambio de la direccin MAC en la interfaz del

router. Ingrese al modo de configuracin de interfaz para G0/1 y desactvela.
R1# config t
R1(config)# interface g0/1
R1(config-if)# shutdown
g. Configure una nueva direccin MAC para la interfaz, con la direccin

aaaa.bbbb.cccc.
R1(config-if)# mac-address aaaa.bbbb.cccc
h. De ser posible, tenga una conexin de consola abierta en el S1 al mismo tiempo que
realiza este paso. Ver que se muestran varios mensajes en la conexin de consola al
S1 que indican una violacin de seguridad. Habilite la interfaz G0/1 en R1.
R1(config-if)# no shutdown
i. En el modo EXEC privilegiado del R1, haga ping a la PC-A. El ping se realiz
correctamente? Por qu o por qu no?
No, por que el switch no acept la Mac como conocida y se apag el puerto.
j. En el switch, verifique la seguridad de puertos con los comandos que se muestran a

continuacin.
S1# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/5 1 1 1 Shutdown
----------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) :0
Max Addresses limit in System (excluding one mac per port) :8192
S1# show port-security interface f0/5

Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses :1
Total MAC Addresses :1
Configured MAC Addresses : 1
Sticky MAC Addresses :0
Last Source Address:Vlan : aaaa.bbbb.cccc:99
Security Violation Count : 1
S1# show interface f0/5

FastEthernet0/5 is down, line protocol is down (err-disabled)
Hardware is Fast Ethernet, address is 0cd9.96e2.3d05 (bia 0cd9.96e2.3d05)
MTU 1500 bytes, BW 10000 Kbit/sec, DLY 1000 usec,
<output omitted>
S1# show port-security address

Secure Mac Address Table
------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
99 30f7.0da3.1821 SecureConfigured Fa0/5 -
-----------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) :0
Max Addresses limit in System (excluding one mac per port) :8192
k. En el router, desactive la interfaz G0/1, elimine la direccin MAC codificada de

forma rgida del router y vuelva a habilitar la interfaz G0/1.
R1(config-if)# shutdown
R1(config-if)# no mac-address aaaa.bbbb.cccc
R1(config-if)# end
l. Desde el R1, vuelva a hacer ping a la PC-A en 172.16.99.3. El ping se realiz
correctamente? No
m. Emita el comando show interface f0/5 para determinar la causa de la falla del ping.
Registre sus conclusiones.
El puerto f0/5 esta apagado al igual que el protocolo, por eso falla el ping.
n. Borre el estado de inhabilitacin por errores de F0/5 en el S1.

S1# config t
S1(config-if)# shutdown
Nota: puede haber una demora mientras convergen los estados de los puertos.
o. Emita el comando show interface f0/5 en el S1 para verificar que F0/5 ya no est en
estado de inhabilitacin por errores.
S1# show interface f0/5
FastEthernet0/5 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 0023.5d59.9185 (bia 0023.5d59.9185)
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
p. En el smbolo del sistema del R1, vuelva a hacer ping a la PC-A. Debera realizarse
correctamente.
Reflexin
Por qu habilitara la seguridad de puertos en un switch?
Para permitir que a cada puerto solo se conecte la computadora autorizada
Por qu deben deshabilitarse los puertos no utilizados en un switch?

Para proteger la red ante accesos no autorizados
Despus de configurar IPv6 en la LAN de la PC-B en la interfaz G0/0 del R1, si hiciera ping
de la PC-A a la direccin IPv6 de la PC-B, el ping sera correcto? Por qu o por qu no?
Siempre y cuando la subred de la PC-A tenga configurado el ruteo de IPv6 el ping ser
exitoso.
3.2.1.7 Packet Tracer: configuracin de redes VLAN
Parte 1: Visualizar la configuracin de VLAN predeterminada

Paso 1: mostrar las VLAN actuales.
En el S1, emita el comando que muestra todas las VLAN configuradas. Todas las interfaces
estn asignadas a la VLAN 1 de forma predeterminada.
Paso 2: verificar la conectividad entre dos computadoras en la misma red.
Observe que cada computadora puede hacer ping a otra que comparta la misma red.
PC1 puede hacer ping a PC4


Los pings a las PC de otras redes fallan.
PC3 a PC4:
Qu beneficios proporciona configurar las VLAN a la configuracin actual?

Los principales beneficios de aplicar VLAN a una configuracin se manifiesta en mayor
seguridad, reduccin de costos, mayor desempeo, menor propagacin de difusiones
requeridas en la red, y mayor organizacin y desempeo en el rea de informtica de una
empresa-
Parte 2: Configurar las VLAN

Paso 1: crear y nombrar las VLAN en el S1.
Cree las siguientes VLAN. Los nombres distinguen maysculas de minsculas.
VLAN 10: Cuerpo docente/Personal
VLAN 20: Estudiantes
VLAN 30: Invitado (predeterminada)
VLAN 99: Administracin y Nativa
Paso 2: verificar la configuracin de la VLAN.

Con qu comando se muestran solamente el nombre y el estado de la VLAN y los puertos
asociados en un switch?
Paso 3: crear las VLAN en el S2 y el S3.
Con los mismos comandos del paso 1, cree y nombre las mismas VLAN en el S2 y el S3.
Paso 4: verificar la configuracin de la VLAN.
Parte 3: Asignar VLAN a los puertos
Paso 1: asignar las VLAN a los puertos activos en el S2.
Asigne las VLAN a los siguientes puertos:
VLAN 10: Fast Ethernet 0/11
Paso 2: Asigne VLAN a los puertos activos en S3.

El S3 utiliza las mismas asignaciones de puertos de acceso de VLAN que el S2.
Paso 3: verificar la prdida de conectividad.
Anteriormente, las PC que compartan la misma red podan hacer ping entre s con xito.
Intente hacer ping entre PC1 y PC4. Si bien los puertos de acceso estn asignados a las VLAN
adecuadas,
los pings se realizaron correctamente?
No
Por qu?
Los puertos que estn activos en los switch estn configurados para la VLAN 1 y las PC1 y
4 estan asignadas a la VLAN 10
Qu podra hacerse para resolver este problema?

Configurar los puertos entre switch como puertos troncales y agregar las VLAN requeridas
para comunicacion.
3.2.2.4 Packet tracer Configurando troncales
Tabla de Direccionamiento
Fondo
Las troncales deben pasar informacin de VLAN entre los switches. Un puerto en un
conmutador es un acceso puerto o un puerto troncal. Los puertos de acceso transportan trfico
desde una VLAN especfica asignada al puerto. Un puerto troncal del valor predeterminado es
un miembro de todas las VLAN; por lo tanto, transporta trfico para todas las VLAN. Esta
actividad se centra en creando puertos troncales y asignndolos a una VLAN nativa que no
sea la predeterminada.
Parte 1: Verifique VLAN
Paso 1: muestra las VLAN actuales.

a. En S1, emita el comando que mostrar todas las VLAN configuradas. Debera haber
9 VLAN en total.
Observe cmo se asignan los 26 puertos en el conmutador a un puerto u otro.
b. En S2 y S3, visualice y verifique todas las VLAN configuradas y asignadas a los
puertos de conmutacin correctos de acuerdo con la tabla de direcciones.
Paso 2: Verifique la prdida de conectividad entre PC en la misma red.
Aunque PC1 y PC4 estn en la misma red, no pueden hacer ping entre s. Esto se debe a que
los puertos la conexin de los conmutadores se asigna a la VLAN 1 de forma predeterminada.
Para proporcionar conectividad entre los PCs en la misma red y VLAN, las troncales deben
configurarse.
Parte 2: Configurar Troncales
Paso 1: configure el enlace troncal en S1 y use VLAN 99 como la VLAN nativa.

a. Configure las interfaces G1 / 1 y G0 / 2 en S1 para enlaces troncales.
S1 (config) # interface range gigabitethernet 0/1 - 2
S1 (config-if-range) # switchport mode trunk
b. Configure VLAN 99 como la VLAN nativa para las interfaces G1 / 1 y G1 / 2 en

S1.
S1 (config-if-range) # switchport trunk native vlan 99
El puerto troncal tarda aproximadamente un minuto en activarse debido a Spanning Tree,

que aprender en captulos en curso Haga clic en Fast Forward Time para acelerar el
proceso. Despus de que los puertos se activen, usted recibir peridicamente los siguientes
mensajes del syslog:
Configur la VLAN 99 como la VLAN nativa en S1. Sin embargo, los S2 y S3 utilizan
VLAN 1 como el VLAN nativa predeterminada segn lo indicado por el mensaje syslog.
Aunque tiene una desadaptacin VLAN nativa, los pings entre PC en la misma VLAN
ahora tienen xito.
Por qu?
Los pings son exitosos porque el enlace troncal se ha habilitado en S1. Protocolo de
trunking dinmico (DTP) ha negociado automticamente el otro lado de los enlaces
troncales. En este caso, S2 y S3 tienen ahora configur automticamente los puertos
conectados a S1 como puertos troncales.
Paso 2: Verifique que el enlace est habilitado en S2 y S3.
En S2 y S3, emita el comando show trunk interface para confirmar que DTP ha negociado
exitosamente trunking con S1 en S2 y S3. El resultado tambin muestra informacin sobre
las interfaces de troncales en S2 y S3
A qu VLAN activas se les permite cruzar el trunk?
1, 10, 20, 30 y 99.
Paso 3: Corrija la falta de coincidencia de la VLAN nativa en S2 y S3.
a. Configure VLAN 99 como la VLAN nativa para las interfaces apropiadas en S2 y

S3.
b. Problema Mostrar el comando trunk de interfaz para verificar la configuracin de
VLAN nativa correcta.
Paso 4: Verifique las configuraciones en S2 y S3.
a. Emita el comando show interface switchport para verificar que la VLAN nativa
ahora sea 99.
b. Utilice el comando show vlan para mostrar informacin sobre las VLAN
configuradas. Por qu es el puerto G1 / 1? en S2 ya no est asignado a la VLAN 1?
El puerto G1 / 1 es un puerto troncal y los puertos troncales no se muestran.
3.2.2.5 Laboratorio Configuring Vlans And Trunking
Los switches modernos usan redes de rea local virtuales (VLAN) para mejorar el
rendimiento de la red mediante la divisin de grandes dominios de difusin de capa 2 en otros
ms pequeos. Las VLAN tambin se pueden usar como medida de seguridad al controlar
qu hosts se pueden comunicar. Por lo general, las redes VLAN facilitan el diseo de una red
para respaldar los objetivos de una organizacin. Los enlaces troncales de VLAN se usan
para abarcar redes VLAN a travs de varios dispositivos. Los enlaces troncales permiten
transferir el trfico de varias VLAN a travs de un nico enlace y conservar intactas la
segmentacin y la identificacin de VLAN.
En esta prctica de laboratorio, crear redes VLAN en los dos switches de la topologa,
asignar las VLAN a los puertos de acceso de los switches, verificar que las VLAN
funcionen como se espera y, a continuacin, crear un enlace troncal de VLAN entre los dos
switches para permitir que los hosts en la misma VLAN se comuniquen a travs del enlace
troncal, independientemente del switch al que est conectado el host.
Nota: los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versin 15.0(2)
(imagen de lanbasek9). Se pueden utilizar otros switches y otras versiones del IOS de Cisco.
Segn el modelo y la versin de IOS de Cisco, los comandos disponibles y los resultados que
se obtienen pueden diferir de los que se muestran en las prcticas de laboratorio.
Recursos necesarios
2 switches (Cisco 2960 con IOS de Cisco versin 15.0(2), imagen lanbasek9 o similar)
3 computadoras (Windows 7, Vista o XP con un programa de emulacin de terminal,
como Tera Term)
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos
de consola
Parte 1. Armar la red y configurar los parmetros bsicos de los dispositivos.

En la parte 1, establecer la topologa de la red y configurar los parmetros bsicos en los
equipos host y los switches.
Paso 1 Realizar el cableado de red tal como se muestra en la topologa.

Conecte los dispositivos tal como se muestra en el diagrama de la topologa y realice el
cableado segn sea necesario.
Paso 2. Inicializar y volver a cargar los switches segn sea necesario.
Paso 3. Configurar los parmetros bsicos para cada switch.
a. Desactive la bsqueda del DNS.

b. Configure el nombre del dispositivo como se muestra en la topologa.
d. Asigne cisco como la contrasea de vty y la contrasea de consola, y habilite el
inicio de sesin para las lneas de vty y de consola.
e. Configure logging synchronous para la lnea de consola.
f. Configure un mensaje MOTD para advertir a los usuarios que se prohbe el acceso
no autorizado.
g. Configure la direccin IP que se indica en la tabla de direccionamiento para la
VLAN 1 en ambos switches.
h. Desactive administrativamente todos los puertos que no se usen en el switch.
i. Copie la configuracin en ejecucin en la configuracin de inicio.
Paso 4 Configurar los equipos host.
Consulte la tabla de direccionamiento para obtener informacin de direcciones de los
equipos host.
Paso 5. Probar la conectividad.
Verifique que los equipos host puedan hacer ping entre s.
Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre
ellas.
Se puede hacer ping de la PC-A a la PC-B?

R/ Si
Se puede hacer ping de la PC-A a la PC-C?
R/ No
Se puede hacer ping de la PC-A al S1?
R/ No
Se puede hacer ping de la PC-B a la PC-C?
R/ No
Se puede hacer ping de la PC-B al S2?
R/ No
Se puede hacer ping de la PC-C al S2?
R/ No
Se puede hacer ping del S1 al S2?
R/ No
Si la respuesta a cualquiera de las preguntas anteriores es no, por qu fallaron los pings?
R/ No se puede realizar ping debido a que no hay presencia de un dispositivo capa 3 como
por ejemplo un Router y tambin debido a que existen dos puertas de enlace diferentes la
cual no permiten la comunicacin global.
Parte 2. Crear redes VLAN y asignar puertos de switch

En la parte 2, crear redes VLAN para los estudiantes, el cuerpo docente y la
administracin en ambos switches. A continuacin, asignar las VLAN a la interfaz
correspondiente. El comando show vlan se usa para verificar las opciones de
configuracin.
Paso 1 Crear las VLAN en los switches.

a. Cree las VLAN en S1.
S1(config)# vlan 10
S1(config-vlan)# name Student
S1(config-vlan)# vlan 20
S1(config-vlan)# name Faculty
S1(config-vlan)# name Management
S1 (config-vlan) # end
b. Cree las mismas VLAN en el S2.
c. Emita el comando show vlan para ver la lista de VLAN en el S1.

S1# show vlan
Cul es la VLAN predeterminada?
R/ Vlan1
Qu puertos se asignan a la VLAN predeterminada?
R/ Todos los puertos
Paso 2 Asignar las VLAN a las interfaces del switch correctas.
a. Asigne las VLAN a las interfaces en el S1.

1) Asigne la PC-A a la VLAN Estudiantes.
S1config) # interface f0/6
S1 (config-if) # switchport mode access
S1 (config-if) # switchport access vlan 10
2) Transfiera la direccin IP del switch a la VLAN 99.
S1 (config) # interface vlan 1
S1 (config-if) # no ip address
S1 (config-if) # interface vlan 99
S1 (config-if) # ip address 192.168.1.11 255.255.255.0
S1(config-if)# end
b. Emita el comando show vlan brief y verifique que las VLAN se hayan asignado a
las interfaces correctas.
S1# show vlan brief
c. Emita el comando show ip interface brief. Cul es el estado de la VLAN 99? Por
qu?
R/ El estatus de la VLAN es UP pero el protocolo esta cado porque an no le
hemos dado un puerto
d. Use la topologa para asignar las VLAN a los puertos correspondientes en el S2.
e. Elimine la direccin IP para la VLAN 1 en el S2.
f. Configure una direccin IP para la VLAN 99 en el S2 segn la tabla de

direccionamiento.
g. Use el comando show vlan brief para verificar que las VLAN se hayan asignado a
las interfaces correctas.
S2# show vlan brief
Es posible hacer ping de la PC-A a la PC-B? Por qu?
R/No. La interfaz F0/1 no se asign a la VLAN 10, de modo que el trfico de la
VLAN 10 no se enva a travs de esta interfaz.
Es posible hacer ping del S1 al S2? Por qu?

R/ No. Las direcciones IP de los switches ahora residen en la VLAN 99. El trfico
de la VLAN 99 no se enva a travs de la interfaz F0/1.
Parte 3: mantener las asignaciones de puertos de VLAN y la base de datos de VLAN

En la parte 3, cambiar las asignaciones de VLAN a los puertos y eliminar las VLAN de la
base de datos de VLAN.
Paso 1 Asignar una VLAN a varias interfaces.
a. En el S1, asigne las interfaces F0/11 a 24 a la VLAN 10.

S1(config)# interface range f0/11-24
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 10
S1 (config-if-range) # end
b. Emita el comando show vlan brief para verificar las asignaciones de VLAN.
c. Reasigne F0/11 y F0/21 a la VLAN 20.
d. Verifique que las asignaciones de VLAN sean las correctas.

Paso 2 Eliminar una asignacin de VLAN de una interfaz.
a. Use el comando no switchport access vlan para eliminar la asignacin de la
VLAN 10 a F0/24.
S1(config-if)# no switchport access vlan 10
S1(config-if)# end
b. Verifique que se haya realizado el cambio de VLAN

A qu VLAN est asociada ahora F0/24?
R/ VLAN 1, la VLAN predeterminada.
Paso 3 Eliminar una ID de VLAN de la base de datos de VLAN

a. Agregue la VLAN 30 a la interfaz F0/24 sin emitir el comando VLAN.
% Access VLAN does not exist. Creating vlan 30
Nota: la tecnologa de switches actual ya no requiere la emisin del comando vlan para
agregar una VLAN a la base de datos. Al asignar una VLAN desconocida a un puerto, la
VLAN se agrega a la base de datos de VLAN.
b. Verifique que la nueva VLAN se muestre en la tabla de VLAN.

Cul es el nombre predeterminado de la VLAN 30?
R/VLAN0030
c. Use el comando no vlan 30 para eliminar la VLAN 30 de la base de datos de

VLAN.
S1(config)# no vlan 30
S1(config)# end
d. Emita el comando show vlan brief. F0/24 se asign a la VLAN 30.

Una vez que se elimina la VLAN 30, a qu VLAN se asigna el puerto F0/24?
Qu sucede con el trfico destinado al host conectado a F0/24?
R/ El puerto F0/24 no se asigna a ninguna VLAN. Este puerto no transfiere trfico.
e. Emita el comando no switchport access vlan en la interfaz F0/24.

f. Emita el comando show vlan brief para determinar la asignacin de VLAN
para F0/24. A qu VLAN se asign F0/24?
Nota: antes de eliminar una VLAN de la base de datos, se recomienda reasignar todos los
puertos asignados a esa VLAN. Por qu debe reasignar un puerto a otra VLAN antes de
eliminar la VLAN de la base de datos de VLAN?
R/ Las interfaces asignadas a una VLAN que se elimin de la base de datos de VLAN no
estn disponibles para usar hasta que se reasignen a otra VLAN. Este problema puede ser
difcil de resolver, ya que las interfaces de enlace troncal tampoco aparecen en la lista de
puertos.
Parte 4: Configurar un enlace troncal 802.1Q entre los switches

En la parte 4, configurar la interfaz F0/1 para que use el protocolo de enlace troncal
dinmico (DTP) y permitir que negocie el modo de enlace troncal. Despus de lograr y
verificar esto, desactivar DTP en la interfaz F0/1 y la configurar manualmente como
enlace troncal.
Paso 1 Usar DTP para iniciar el enlace troncal en F0/1.
El modo de DTP predeterminado de un puerto en un switch 2960 es dinmico automtico.
Esto permite que la interfaz convierta el enlace en un enlace troncal si la interfaz vecina se
establece en modo de enlace troncal o dinmico deseado.
a. Establezca F0/1 en el S1 en modo de enlace troncal.
b. Emita el comando show vlan brief en el S1 y el S2. La interfaz F0/1 ya no est

asignada a la VLAN 1. Las interfaces de enlace troncal no se incluyen en la tabla de
VLAN.
c. Emita el comando show interfaces trunk para ver las interfaces de enlace troncal.
Observe que el modo en el S1 est establecido en deseado, y el modo en el S2 en
automtico.
Nota: de manera predeterminada, todas las VLAN se permiten en un enlace troncal. El

comando switchport trunk le permite controlar qu VLAN tienen acceso al enlace troncal.
Para esta prctica de laboratorio, mantenga la configuracin predeterminada que permite
que todas las VLAN atraviesen F0/1.
d. Verifique que el trfico de VLAN se transfiera a travs de la interfaz de enlace

troncal F0/1.
Se puede hacer ping del S1 al S2?

R/ Si
Se puede hacer ping de la PC-A a la PC-B?

R/ Si
Se puede hacer ping de la PC-A a la PC-C?

No
Se puede hacer ping de la PC-B a la PC-C? No
Se puede hacer ping de la PC-A al S1? No
Se puede hacer ping de la PC-B al S2? No
Se puede hacer ping de la PC-C al S2? No
Si la respuesta a cualquiera de las preguntas anteriores es no, justifquela a

continuacin. R=/ No se puede hacer ping de la PC-C a la PC-A o a la PC-B debido
a que la PC-C est en una VLAN diferente. Los switches estn en diferentes VLAN
que las computadoras; por este motivo, los pings fallaron.
Paso 2 Configurar manualmente la interfaz de enlace troncal F0/1.

El comando switchport mode trunk se usa para configurar un puerto
manualmente como enlace troncal. Este comando se debe emitir en ambos extremos
del enlace.
a. Cambie el modo de switchport en la interfaz F0/1 para forzar el enlace troncal.

Haga esto en ambos switches.

S1(config-if)# switchport mode trunk
b. Emita el comando show interfaces trunk para ver el modo de enlace troncal.
Observe que el modo cambi de desirable a on.
Por qu deseara configurar una interfaz en modo de enlace troncal de forma manual en
lugar de usar DTP?
R/ No todos los equipos usan DTP. Con el comando switchport mode trunk, se garantiza
que el puerto se convierta en un enlace troncal, independientemente del tipo de equipo
conectado al otro extremo del enlace.
Parte 5: Eliminar la base de datos de VLAN

En la parte 5, eliminar la base de datos de VLAN del switch. Es necesario hacer esto al
inicializar un switch para que vuelva a la configuracin predeterminada.
Paso 1 Determinar si existe la base de datos de VLAN.

Emita el comando show flash para determinar si existe el archivo vlan.dat en la memoria
flash.
Nota: si hay un archivo vlan.dat en la memoria flash, la base de datos de VLAN no

contiene la configuracin predeterminada.
Paso 2 Eliminar la base de datos de VLAN.
a. Emita el comando delete vlan.dat para eliminar el archivo vlan.dat de la memoria

flash y restablecer la base de datos de VLAN a la configuracin predeterminada. Se le
solicitar dos veces que confirme que desea eliminar el archivo vlan.dat. Presione
Enter ambas veces.
b. Emita el comando show flash para verificar que se haya eliminado el archivo vlan.dat.
Para inicializar un switch para que vuelva a la configuracin predeterminada, cules
son los otros comandos que se necesitan? R=/ Para que un switch vuelva a la
configuracin predeterminada, se deben emitir los comandos
erase startup-config y reload despus de emitir el comando delete vlan.dat.
Reflexin
1. Qu se necesita para permitir que los hosts en la VLAN 10 se comuniquen con los
hosts en la VLAN 20?
R/ Se necesita el routing de capa 3 para enrutar el trfico entre redes VLAN.
2. Cules son algunos de los beneficios principales que una organizacin puede obtener
mediante el uso eficaz de las VLAN?
R/ Aumento de la seguridad, ahorro de costos (uso eficaz del ancho de banda y los
uplinks), aumento del rendimiento (dominios de difusin ms pequeos), mitigacin de
las tormentas de difusin, aumento de la eficiencia del personal de TI, simplificacin de
la administracin de proyectos y
aplicaciones.
3.3.2.2 Laboratorio - Implementing Vlan Security
Asignaciones de Vlan
La prctica recomendada indica que se deben configurar algunos parmetros bsicos de
seguridad para los puertos de enlace troncal y de acceso en los switches. Esto sirve como
proteccin contra los ataques de VLAN y la posible deteccin del trfico de la red dentro de
esta.
En esta prctica de laboratorio, configurar los dispositivos de red en la topologa con
algunos parmetros bsicos, verificar la conectividad y, a continuacin, aplicar medidas
de seguridad ms estrictas en los switches. Utilizar varios comandos show para analizar la
forma en que se comportan los switches Cisco. Luego, aplicar medidas de seguridad.
Nota: los switches que se utilizan en esta prctica de laboratorio son Cisco Catalyst 2960s
con IOS de Cisco versin 15.0 (2) (imagen de lanbasek9). Se pueden utilizar otros switches
y otras versiones del IOS de Cisco. Segn el modelo y la versin de IOS de Cisco, los
comandos disponibles y los resultados que se obtienen pueden diferir de los que se
muestran en las prcticas de laboratorio.
Nota: asegrese de que los switches se hayan borrado y no tengan configuraciones de

inicio. Si no est seguro, consulte con el instructor.
Parte 1: Armar la red y configurar los parmetros bsicos de los dispositivos

En la parte 1, configurar los parmetros bsicos en los switches y las computadoras.
Consulte la tabla de direccionamiento para obtener informacin sobre nombres de
dispositivos y direcciones.

Paso 2 Inicializar y volver a cargar los switches.
Paso 3 Configurar las direcciones IP en la PC-A, la PC-B y la PC-C.

Consulte la tabla de direccionamiento para obtener la informacin de direcciones de las
computadoras.
Paso 4 Configurar los parmetros bsicos para cada switch.

b. Configure los nombres de los dispositivos como se muestra en la topologa. e. Asigne
class como la contrasea del modo EXEC privilegiado.
c. Asigne cisco como la contrasea de VTY y la contrasea de consola, y habilite el
inicio de sesin para las lneas de vty y de consola.
d. Configure el inicio de sesin sincrnico para las lneas de vty y de consola.
Paso 5 Configurar las VLAN en cada switch.
a. Cree las VLAN y asgneles nombres segn la tabla de asignaciones de VLAN.
b. Configure la direccin IP que se indica para la VLAN 99 en la tabla de

direccionamiento en ambos switches.
c. Configure F0/6 en el S1 como puerto de acceso y asgnelo a la VLAN 99.
d. Configure F0/11 en el S2 como puerto de acceso y asgnelo a la VLAN 10.
e. Configure F0/18 en el S2 como puerto de acceso y asgnelo a la VLAN 99.

f. Emita el comando show vlan brief para verificar las asignaciones de VLAN y de
puertos.
A qu VLAN pertenecera un puerto sin asignar, como F0/8 en el S2?

R/ Vlan1
Paso 6 Configurar la seguridad bsica del switch.
a. Configure un mensaje MOTD para advertir a los usuarios que se prohbe el acceso
no autorizado.
b. Encripte todas las contraseas.
c. Desactive todos los puertos fsicos sin utilizar.
d. Deshabilite el servicio web bsico en ejecucin.

e. Copie la configuracin en ejecucin en la configuracin de inicio.

Paso 7 Verificar la conectividad entre la informacin de VLAN y los dispositivos.
a. En el smbolo del sistema de la PC-A, haga ping a la direccin de administracin

del S1. Tuvieron xito los pings? Por qu?
R/ S, los pings tuvieron xito. PC-A se encuentra en la misma VLAN que la
direccin de gestin de Administracin.
b. Desde el S1, haga ping a la direccin de administracin del S2. Tuvieron xito los
pings? Por qu?
R/ No, los pings no tuvieron xito. Las direcciones de gestin en S1 y S2 estn en
la misma VLAN, pero la interfaz Fa0 / 1 en ambos switches no est configurado
como un puerto troncal. El puerto Fa0 / 1 todava pertenece a la VLAN 1 y no la
VLAN 99.
c. En el smbolo del sistema de la PC-B, haga ping a las direcciones de
administracin del S1 y el S2, y a la direccin IP de la PC-A y la PC-C. Los pings
se realizaron correctamente? Por qu?
R/ Los pings a S1, S2, PC-A, y PC-C de PC-B fueron todos infructuosos. PC-B
est en la VLAN 10, y S1, S2, PC-A, y PC-C estn en VLAN 99. No hay
dispositivo capa 3 para enrutar redes.
d. En el smbolo del sistema de la PC-C, haga ping a las direcciones de

administracin del S1 y el S2. Tuvo xito? Por qu?
R/ xito parcial. PC-C es la misma VLAN como S1 y S2. PC.-C es capaz de hacer
ping a la direccin de la gestin de S2, pero todava no puede hacer ping S1 debido
a un enlace troncal no se ha establecido todava entre S1 y S2.
Nota: puede ser necesario desactivar el firewall de las computadoras para hacer
ping entre ellas.
Parte 2 Implementar seguridad de VLAN en los switches

Paso1 Configurar puertos de enlace troncal en el S1 y el S2.
a. Configure el puerto F0/1 en el S1 como puerto de enlace troncal.

b. Configure el puerto F0/1 en el S2 como puerto de enlace troncal.

c. Verifique los enlaces troncales en el S1 y el S2. Emita el comando show interface
trunk en los dos switches.
Paso 2 Cambiar la VLAN nativa para los puertos de enlace troncal en el S1 y el S2.
Es aconsejable para la seguridad cambiar la VLAN nativa para los puertos de enlace troncal
de la VLAN 1 a otra VLAN.
a. Cul es la VLAN nativa actual para las interfaces F0/1 del S1 y el S2?
R/ VLAN 1 es la VLAN nativa para los dos switches
b. Configure la VLAN nativa de la interfaz de enlace troncal F0/1 del S1 en la VLAN 99

Management&Native.
S1# config t
S1(config-if)# switchport trunk native vlan 99
c. Espere unos segundos. Debera comenzar a recibir mensajes de error en la sesin de

consola del S1. Qu significa el mensaje %CDP-4 NATIVE_VLAN_MISMATCH:?
R/ Este es un mensaje de Cisco Discovery Protocol (CDP), que indica que las VLAN
nativas S1 y S2 no coinciden. S2 todava tiene la VLAN nativa fijado a la VLAN 1. S1
ha establecido la
VLAN nativa a 99.
d. Configure la VLAN 99 como VLAN nativa de la interfaz de enlace troncal F0/1 del
S2.
S2(config-if)# switchport trunk native vlan 99
e. Verifique que ahora la VLAN nativa sea la 99 en ambos switches. A continuacin, se

muestra el resultado del S1.
S1# show interface trunk
Paso 3 Verificar que el trfico se pueda transmitir correctamente a travs del enlace
troncal.
a. En el smbolo del sistema de la PC-A, haga ping a la direccin de administracin

del S1. Tuvieron xito los pings? Por qu?
R/ S, los pings tuvieron xito. PC-A se encuentra en la misma VLAN que la
direccin de la gestin en el switch.
b. En la sesin de consola del S1, haga ping a la direccin de administracin del S2.
Tuvieron xito los pings? Por qu?
R/ S, los pings tuvieron xito. Trunking se ha establecido con xito, y los dos
switches estn en la VLAN 99
c. En el smbolo del sistema de la PC-B, haga ping a las direcciones de

administracin del S1 y el S2, y a la direccin IP de la PC-A y la PC-C. Los pings
d. se realizaron correctamente? Por qu?R/ Los pings a S1, S2, PC-A, y PC-C de
PC-B fueron todos infructuosos. PC-B est en VLAN 10 y S1, S2, PC-A, y PC-C
estn en VLAN 99. No hay dispositivo capa 3 para enrutar redes.
e. En el smbolo del sistema de la PC-C, haga ping a las direcciones de

administracin del S1 y el S2, y a la direccin IP de la PC-A. Tuvo xito? Por
qu?
R/ Los pings tuvieron xito. PC-C se encuentra en la misma VLAN que S1 y S2 y
PC-A.
Paso4 Impedir el uso de DTP en el S1 y el S2.

Cisco utiliza un protocolo exclusivo conocido como protocolo de enlace troncal dinmico
(DTP) en los switches. Algunos puertos negocian el enlace troncal de manera automtica.
Se recomienda desactivar la negociacin. Puede ver este comportamiento predeterminado
mediante la emisin del siguiente comando:
S1# show interface f0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
<Output Omitted>
a. Desactive la negociacin en el S1.

S1 (config-if) # switchport nonegotiate
b. Desactive la negociacin en el S2.

S2 (config-if) # switchport nonegotiate
c. Verifique que la negociacin est desactivada mediante la emisin del comando
show interface f0/1 switchport en el S1 y el S2.
Paso 5 Implementar medidas de seguridad en los puertos de acceso del S1 y el S2.

Aunque desactiv los puertos sin utilizar en los switches, si se conecta un dispositivo a uno
de esos puertos y la interfaz est habilitada, se podra producir un enlace troncal. Adems,
todos los puertos estn en la VLAN 1 de manera predeterminada. Se recomienda colocar
todos los puertos sin utilizar en una VLAN de agujero negro. En este paso, deshabilitar
los enlaces troncales en todos los puertos sin utilizar. Tambin asignar los puertos sin
utilizar a la VLAN 999. A los fines de esta prctica de laboratorio, solo se configurarn los
puertos 2 a 5 en ambos switches.
a. Emita el comando show interface f0/2 switchport en el S1. Observe el modo

administrativo y el estado para la negociacin de enlaces troncales.
b. Deshabilite los enlaces troncales en los puertos de acceso del S1.
c. Deshabilite los enlaces troncales en los puertos de acceso del S2.
d. Verifique que el puerto F0/2 est establecido en modo de acceso en el S1.
e. Verifique que las asignaciones de puertos de VLAN en ambos switches sean las
correctas. A continuacin, se muestra el S1 como ejemplo.
S1# show vlan brief
De manera predeterminada, se permite transportar todas las VLAN en los puertos de
enlace troncal. Por motivos de seguridad, se recomienda permitir que solo se
transmitan las VLAN deseadas y especficas a travs de los enlaces troncales en la
red.
f. Restrinja el puerto de enlace troncal F0/1 en el S1 para permitir solo las VLAN 10 y
99.
g. Restrinja el puerto de enlace troncal F0/1 en el S2 para permitir solo las VLAN 10 y
99.
h. Verifique las VLAN permitidas. Emita el comando show interface trunk en el

modo EXEC privilegiado en el S1 y el S2
Cul es el resultado?
R/ Slo VLAN 10 y 99 estn permitidos en el enlace troncal entre S1 y S2.
Reflexin
Qu problemas de seguridad, si los hubiera, tiene la configuracin predeterminada de un

switch Cisco?
R/ El hecho de que todos los puertos son asignados a VLAN 1 por defecto, es un problema
de seguridad posible. Otra es que en muchos switches de Cisco, los enlaces troncales se
establecen en la negociacin automtica, por lo que los enlaces troncales pueden ser
activados sin su conocimiento, si est conectado a un pcaro sin escrpulos. Otra respuesta
posible es que tanto la consola y Vty se muestran en texto sin formato por defecto. Adems,
el servidor HTTP est activado de forma predeterminada.
4.1.4.6 Lab - Configuring Basic Router Settings With Ios Cli
Mscara de Gateway
Dispositivo Interfaz Direccin IP subred predeterminado
R1 G0/0 192.168.0.1 255.255.255.0 N/A
G0/1 192.168.1.1 255.255.255.0 N/A
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1
PC-B NIC 192.168.0.3 255.255.255.0 192.168.0.1
Esta es una prctica de laboratorio integral para revisar comandos de router de IOS que se
abarcaron anteriormente. En las partes 1 y 2, realizar el cableado de los equipos y
completar las configuraciones bsicas y las configuraciones de las interfaces IPv4 en el
router.
En la parte 3, utilizar SSH para conectarse de manera remota al router y usar comandos
de IOS para recuperar la informacin del dispositivo para responder preguntas sobre el
router. En la parte 4, configurar IPv6 en el router de modo que la PC-B pueda adquirir una
direccin IP y luego verificar la conectividad.
Para fines de revisin, esta prctica de laboratorio proporciona los comandos necesarios
para las configuraciones de router especficas.
Nota: los routers que se utilizan en las prcticas de laboratorio de CCNA son routers de
universalk9). Los switches que se utilizan son Cisco Catalyst 2960 con IOS de Cisco,
versin 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras
versiones del IOS de Cisco. Segn el modelo y la versin de IOS de Cisco, los comandos
disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las
prcticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se
encuentra al final de esta prctica de laboratorio para obtener los identificadores de interfaz
correctos.
de inicio. Consulte el apndice A para conocer los procedimientos para inicializar y volver
a cargar los dispositivos.
Recursos necesarios
similar)
comparable)
2 computadoras (Windows 7, Vista o XP con un programa de emulacin de
terminal, como Tera Term)
puertos de consola
Nota: las interfaces Gigabit Ethernet en los ISR Cisco 1941 cuentan con deteccin
automtica, y se puede utilizar un cable directo de Ethernet entre el router y la PC-B. Si
utiliza otro modelo de router Cisco, puede ser necesario usar un cable cruzado Ethernet.
Parte 1 Establecer la topologa e inicializar los dispositivos

q. Conecte los dispositivos tal como se muestra en el diagrama de la topologa y
realice el cableado segn sea necesario.
r. Encienda todos los dispositivos de la topologa.

Paso 2 Inicializar y volver a cargar el router y el switch.
Nota: en el apndice A, se detallan los pasos para inicializar y volver a cargar los
dispositivos.
Parte 2 Configurar dispositivos y verificar la conectividad

Paso 1 Configure las interfaces de la PC.
a. Configure la direccin IP, la mscara de subred y la configuracin del gateway

predeterminado en la PC-A.
b. Configure la direccin IP, la mscara de subred y la configuracin del gateway

predeterminado en la PC-B.
Paso 2 Configurar el router.
c. Acceda al router mediante el puerto de consola y habilite el modo EXEC
privilegiado.
Router> enable
Router#
d. Ingrese al modo de configuracin global.

Router# config terminal
Router(config)#
e. Asigne un nombre de dispositivo al router.

Router(config)# hostname R1
f. Deshabilite la bsqueda DNS para evitar que el router intente traducir los comandos
incorrectamente introducidos como si fueran nombres de host.
R1(config)# no ip domain-lookup
g. Establezca el requisito de que todas las contraseas tengan como mnimo 10

caracteres.
R1(config)# security passwords min-length 10
Adems de configurar una longitud mnima, enumere otras formas de aportar
seguridad a las contraseas.
R=/encriptarlas, restringiendo el nmero de intentos permitidos para ingresar las
contraseas
h. Asigne cisco12345 como la contrasea cifrada del modo EXEC privilegiado.

R1(config)# enable secret cisco12345
i. Asigne ciscoconpass como la contrasea de consola, establezca un tiempo de

espera, habilite el inicio de sesin y agregue el comando logging synchronous. El
comando logging synchronous sincroniza la depuracin y el resultado del software
IOS de Cisco, y evita que estos mensajes interrumpan la entrada del teclado.
R1(config)# line con 0
R1(config-line)# password ciscoconpass
R1(config-line)# exec-timeout 5 0
R1(config-line)# login
R1(config-line)# logging
synchronous
R1(config-line)# exit
R1(config)#
Para el comando exec-timeout, qu representan el 5 y el 0?

R/ El tiempo de espera para ingresar la contrasea
j. Asigne ciscovtypass como la contrasea de vty, establezca un tiempo de espera,

habilite el inicio de sesin y agregue el comando logging synchronous.
R1(config)# line vty 0 4
R1(config-line)# password ciscovtypass
R1(config-line)# exec-timeout 5 0
R1(config-line)# login
R1(config-line)# logging synchronous
R1(config)#
k. Cifre las contraseas de texto no cifrado.

R1(config)# service password-encryption
l. Cree un aviso que advierta a todo aquel que acceda al dispositivo que el acceso no
autorizado est prohibido.
R1(config)# banner motd #Unauthorized access prohibited!#
m. Configure una direccin IP y una descripcin de interfaz. Active las dos interfaces
en el router.
R1(config)# int g0/0
R1(config-if)# description Connection to PC-B
R1(config-if)# ip address 192.168.0.1 255.255.255.0
R1(config-if)# int g0/1
R1(config-if)# description Connection to S1
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config-if)# exit
R1(config)# exit
R1#
n. Configure el reloj en el router, por ejemplo:

R1# clock set 17:00:00 18 Feb 2013
o. Guarde la configuracin en ejecucin en el archivo de configuracin de inicio.
R1# copy running-config startup-config
Destination filename [startup-config]?
[OK]
R1#
Qu resultado obtendra al volver a cargar el router antes de completar el comando

copy running-config startup-config?
R/ Al no ejecutar ese comando, los ajustes y configuraciones podran perderse y al
iniciar nuevamente la consola se pedira nuevamente los datos de configuracin
inicial.
Paso 3 Verificar la conectividad de la red

p. Haga ping a la PC-B en un smbolo del sistema en la PC-A.
Nota: quiz sea necesario deshabilitar el firewall de las computadoras.
Tuvieron xito los pings?
R/ Si
Despus de completar esta serie de comandos, qu tipo de acceso remoto podra
usarse para acceder al R1?
R/ Por telnet.
q. Acceda de forma remota al R1 desde la PC-A mediante el cliente de Telnet de Tera

Term.
Abra Tera Term e introduzca la direccin IP de la interfaz G0/1 del R1 en el campo
Host: de la ventana Tera Term: New Connection (Tera Term: nueva conexin).
Asegrese de que el botn de opcin Telnet est seleccionado y despus haga clic
en OK (Aceptar) para conectarse al router.
Pudo conectarse remotamente?
R/ Si Correctamente.
Por qu el protocolo Telnet es considerado un riesgo de seguridad?

R/ Por no tener cifrado de sus contraseas y ser vista en un texto plano atraves de un
software.
Paso 4 Configurar el router para el acceso por SSH.

r. Habilite las conexiones SSH y cree un usuario en la base de datos local del router.
R1# configure terminal
R1(config)# ip domain-name CCNA-lab.com
R1(config)# username admin privilege 15 secret adminpass1
R1(config)# line vty 0 4
R1(config-line)# transport input ssh
R1(config-line)# login local
R1(config)# crypto key generate rsa modulus 1024
R1(config)# exit
s. Acceda remotamente al R1 desde la PC-A con el cliente SSH de Tera Term. Abra
Tera Term e introduzca la direccin IP de la interfaz G0/1 del R1 en el campo Host:
de la ventana Tera Term: New Connection (Tera Term: nueva conexin). Asegrese
de que el botn de opcin SSH est seleccionado y despus haga clic en OK para
conectarse al router.
Pudo conectarse remotamente?
R/ Si
Parte 3 Mostrar la informacin del router

En la parte 3, utilizar comandos show en una sesin SSH para recuperar informacin del
router.
Paso 1 Establecer una sesin SSH para el R1.

Mediante Tera Term en la PC-B, abra una sesin SSH para el R1 en la direccin IP
192.168.0.1 e inicie sesin como admin y use la contrasea adminpass1.
Paso 2 Recuperar informacin importante del hardware y el software.

t. Use el comando show version para responder preguntas sobre el router.
Cul es el nombre de la imagen de IOS que el router est ejecutando?
R/ "flash0:c1900-universalk9-mz.SPA.151-1.M4.bin"
Cunta memoria de acceso aleatorio no voltil (NVRAM) tiene el router?

R/ 255K bytes of non-volatile configuration memory.
Cunta memoria flash tiene el router?

R/ 249856K bytes of ATA System CompactFlash 0 (Read/Write)
u. Con frecuencia, los comandos show proporcionan varias pantallas de resultados.

Filtrar el resultado permite que un usuario visualice determinadas secciones del
resultado. Para habilitar el comando de filtrado, introduzca una barra vertical (|)
despus de un comando show, seguido de un parmetro de filtrado y una expresin
de filtrado. Para que el resultado coincida con la instruccin de filtrado, puede usar
la palabra clave include para ver todas las lneas del resultado que contienen la
expresin de filtrado. Filtre el comando show version mediante show version |
include register para responder la siguiente pregunta.
Cul es el proceso de arranque para el router en la siguiente recarga?
R/ Configuration register is 0x2102, segn este registro 2102 se hace referencia a un
arranque normal, cargando el sistema operativo desde la memoria flash y la
configuracin startup desde la memoria nvram.
Paso 3 Mostrar la configuracin de inicio.

Use el comando show startup-config en el router para responder las siguientes preguntas.
De qu forma figuran las contraseas en el resultado?
R/ Todos encriptados por haber subido el servicio de encriptacin.
Use el comando show startup-config | begin vty.

Qu resultado se obtiene al usar este comando?
R/ Se recibe de parte del usuario la configuracin startup de salida iniciando de la
lnea que se incluy en la primera instancia de la expresin de filtrado.
Paso 4 Mostrar la tabla de routing en el router.

Use el comando show ip route en el router para responder las siguientes preguntas.
Qu cdigo se utiliza en la tabla de routing para indicar una red conectada

directamente?
R/ Se utiliza el carcter C. la letra L indica las interfaces locales.
Cuntas entradas de ruta estn cifradas con un cdigo C en la tabla de routing?

R/ 2 entradas
Paso 5 Mostrar una lista de resumen de las interfaces del router.

Use el comando show ip interface brief en el router para responder la siguiente pregunta.
Qu comando cambi el estado de los puertos Gigabit Ethernet de
administrativamente inactivo a activo?
R/ El comando es: no shutdown
Parte 4 Configurar IPv6 y verificar la conectividad
Paso 1 Asignar direcciones IPv6 a la G0/0 del R1 y habilitar el routing IPv6.

Nota: la asignacin de una direccin IPv6, adems de una direccin IPv4, en una interfaz
se conoce como dual stacking, debido a que las pilas de protocolos IPv4 e IPv6 estn
activas. Al habilitar el routing de unidifusin IPv6 en el R1, la PC-B recibe el prefijo de red
IPv6 de G0/0 del R1 y puede configurar automticamente la direccin IPv6 y el gateway
predeterminado.
a. Asigne una direccin de unidifusin global IPv6 a la interfaz G0/0; asigne la

direccin link-local en la interfaz, adems de la direccin de unidifusin; y habilite
el routing IPv6.
R1# configure terminal
R1(config)# interface g0/0
R1(config-if)# ipv6 address 2001:db8:acad:a::1/64
R1(config-if)# ipv6 address fe80::1 link-local
R1(config-if)# exit
R1(config)# ipv6 unicast-routing
R1(config)# exit
b. Use el comando show ipv6 int brief para verificar la configuracin de IPv6 en el R1.
Si no se asign una direccin IPv6 a la G0/1, por qu se indica como [up/up]?

R/ Las capas que se reflejan el up/up como levantadas son las capas 1 y 2, mas no
refleja el status para la capa 3.
c. Emita el comando ipconfig en la PC-B para examinar la configuracin de IPv6.
d.
Cul es la direccin IPv6 asignada a la PC-B?
R/ La direccin ipv6 es: FE80::201:96FF:FE8A:94D6
Cul es el Gateway predeterminado asignado a la PC-B?
R/ FE80::1
En la PC-B, haga ping a la direccin link-local del gateway predeterminado del R1.
Tuvo xito?
R/ Si
En la PC-B, haga ping a la direccin IPv6 de unidifusin del R1 2001:db8:acad:a::1.

Tuvo xito?
R/ Si
Reflexin
1. Durante la investigacin de un problema de conectividad de red, un tcnico

sospecha que no se habilit una interfaz. Qu comando show podra usar el tcnico
para resolver este problema?
R/ El comando show que puede usar para revisar el estado de las interfaces es show
ip interface brief en el
que se muestra el estado y el protocolo de la misma.
2. Durante la investigacin de un problema de conectividad de red, un tcnico

sospecha que se asign una mscara de subred incorrecta a una interfaz. Qu
comando show podra usar el tcnico para resolver este problema?
R/ El tcnico puede revisar la configuracin del router por medio del show startup-
config, por medio del cual se muestran las configuraciones que se cargan en el
arranque del dispositivo, entre estas las direcciones IP y Mascara de subred
asignadas a las interfaces.
3. Despus de configurar IPv6 en la LAN de la PC-B en la interfaz G0/0 del R1, si

hiciera ping de la PC-A a la direccin IPv6 de la PC-B, el ping sera correcto? Por
qu o por qu no?
R/ Siempre y cuando la subred de la PC-A tenga configurado el ruteo de IPv6 el ping
ser exitoso.
4.1.4.7 Prctica de laboratorio: configuracin de los parmetros bsicos del router con
CCP
Topologa
Mscara de Gateway
Dispositivo Interfaz Direccin IP subred predeterminado
R1 G0/0 192.168.0.1 255.255.255.0 N/A
G0/1 192.168.1.1 255.255.255.0 N/A
S1 VLAN 1 N/A N/A N/A
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1
PC-B NIC 192.168.0.3 255.255.255.0 192.168.0.1
Cisco Configuration Professional (CCP) es una aplicacin basada en computadora que
proporciona administracin de dispositivos basados en GUI para routers de servicios
integrados (ISR). Simplifica la configuracin del routing, el firewall, la VPN, la WAN, la
LAN y otras configuraciones por medio de mens y de asistentes fciles de utilizar.
En esta prctica de laboratorio, configurar los parmetros del router con la configuracin de
la prctica de laboratorio anterior en este captulo. Se debe establecer conectividad de capa 3
entre la PC que ejecuta CCP (PC-A) y el R1 antes de que CCP pueda establecer una conexin.
Adems, se debe configurar el acceso y la autenticacin HTTP en el R1.
Descargar e instalar CCP en la computadora y luego lo utilizar para supervisar el estado
de la interfaz del R1, configurar una interfaz, establecer la fecha y hora, agregar un usuario
a la base de datos local y editar la configuracin de vty. Tambin usar algunas de las
utilidades incluidas en CCP.
Nota: las configuraciones de router llevadas a cabo con CCP generan los comandos de CLI
del IOS. CCP puede ser muy til para configurar caractersticas ms complejas del router, ya
que no requiere un conocimiento especfico de la sintaxis de los comandos de IOS de Cisco.
Nota: los routers que se utilizan en las prcticas de laboratorio de CCNA son routers de
universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versin
15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones
del IOS de Cisco. Segn el modelo y la versin de IOS de Cisco, los comandos disponibles
y los resultados que se obtienen pueden diferir de los que se muestran en las prcticas de
laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de
esta prctica de laboratorio para obtener los identificadores de interfaz correctos.
de inicio. Si no est seguro, consulte con el instructor.
Recursos necesarios
similar)
comparable)
2 computadoras (Windows 7, Vista o XP con un programa de emulacin de terminal,
como Tera Term)
puertos de consola
Nota: los requisitos del sistema de la computadora para la versin 2.6 de CCP son los
siguientes:
Procesador de 2 GHz o ms rpido
1 GB de DRAM como mnimo; se recomienda contar con 2 GB
400 MB de espacio en disco duro disponible
Internet Explorer 6.0 o ms reciente
Resolucin de pantalla de 1024x768 o superior
Java Runtime Environment (JRE), versin 1.6.0_11 o ms reciente
Adobe Flash Player, versin 10.0 o ms reciente, con la depuracin
configurada en No
Nota: las interfaces Gigabit Ethernet en los ISR Cisco 1941 cuentan con deteccin
automtica, y se puede utilizar un cable directo de Ethernet entre el router y la PC-B. Si
utiliza otro modelo de router Cisco, puede ser necesario usar un cable cruzado Ethernet.

a. Conecte los dispositivos que se muestran en el diagrama de la topologa y realice el
cableado, segn sea necesario.
b. Encienda todos los dispositivos de la topologa.
Paso 2. inicializar y volver a cargar el router y el switch.

Parte 2. Configurar dispositivos y verificar la conectividad
En la parte 2, configurar los parmetros bsicos, como las direcciones IP de interfaz
(solo G0/1), el acceso seguro a dispositivos y las contraseas. Consulte la topologa y la
tabla de direccionamiento para conocer los nombres de los dispositivos y obtener
informacin de direcciones.
Paso 1. Configure las interfaces de la PC.

a. Configure la direccin IP, la mscara de subred y la configuracin del gateway
predeterminado en la PC-A.
b. Configure la direccin IP, la mscara de subred y la configuracin del gateway

predeterminado en la PC-B.
Paso 2. Configurar el router.

Nota: todava NO configure la interfaz G0/0. Configurar esta interfaz con CCP ms
adelante en esta prctica de laboratorio.
c. Acceda al router mediante el puerto de consola y habilite el modo EXEC privilegiado.

d. Ingrese al modo de configuracin global.
e. Desactive la bsqueda del DNS.
f. Asigne un nombre de dispositivo al router.
g. Establezca el requisito de que todas las contraseas tengan como mnimo 10
caracteres.
h. Asigne cisco12345 como la contrasea cifrada del modo EXEC privilegiado.
i. Asigne ciscoconpass como la contrasea de consola y habilite el inicio de sesin.
j. Asigne ciscovtypass como la contrasea de vty y habilite el inicio de sesin.
k. Configure logging synchronous en las lneas de consola y vty.
l. Cifre las contraseas de texto no cifrado.
m. Cree un aviso que advierta a todo aquel que acceda al dispositivo que el acceso no
n. Configure las direcciones IP y una descripcin de la interfaz, y active la interfaz G0/1
en el router.
o. Guarde la configuracin en ejecucin en el archivo de configuracin de inicio.
Paso 3. Verificar la conectividad de la red
Verifique que pueda hacer ping a la G0/1 del R1 desde la PC-A.
Parte 3. configurar el router para permitir el acceso de CCP

En la parte 3, configurar el router para permitir el acceso de CCP al habilitar los servicios
de servidores HTTP y HTTPS. Tambin habilitar la autenticacin HTTP para usar la
base de datos local.
Paso 1. habilitar los servicios de servidores HTTP y HTTPS en el router.

R1(config)# ip http server
R1(config)# ip http secure-server
Paso 2. habilitar la autenticacin HTTP para usar la base de datos local en el router.
R1(config)# ip http authentication local
Los pasos 1 y 2 no se pueden realizar, ya que Packet Tracer no soporta http
Paso 3. configurar el router para el acceso de CCP.

Asigne un usuario en la base de datos local del router para acceder a CCP con el nombre
de usuario admin y la contrasea adminpass1.
Parte 4. (optativo) instalar y configurar CCP en la PC-A

Paso 1. instalar CCP.
Nota: si CCP ya est instalado en la PC-A, puede omitir este paso.
a. Descargue CCP 2.6 del sitio web de Cisco:
http://software.cisco.com/download/release.html?mdfid=281795035&softwareid=2
82159854&release=2.6&rellifecycle=&relind=AVAILABLE&reltype=all
b. Seleccione el archivo cisco-config-pro-k9-pkg-2_6-en.zip.
Nota: verifique si seleccion el archivo correcto de CCP y no CCP Express. Si hay
una versin ms actualizada de CCP, puede optar por descargarlo; sin embargo, en
esta prctica de laboratorio se usa CCP 2.6.
c. Acepte los trminos y condiciones y descargue y guarde el archivo en la ubicacin
deseada.
d. Abra el archivo ZIP y ejecute el archivo ejecutable de CCP.
e. Siga las instrucciones en pantalla para instalar CCP 2.6 en la computadora.
Paso 2. cambiar la configuracin para ejecutar como administrador.

Si no se ejecuta como administrador, es posible que no pueda iniciar CCP correctamente.
Puede cambiar la configuracin de inicio para que se ejecute automticamente en modo
administrador.
a. Haga clic con el botn secundario en el cono del escritorio de CCP (o haga clic en
el botn Inicio) y luego haga clic con el botn secundario en Cisco Configuration
Professional. En la lista desplegable, seleccione Propiedades.
b. En el cuadro de dilogo Properties, seleccione la ficha Compatibilidad. En la seccin
Nivel de privilegio, haga clic en la casilla de verificacin Ejecutar este programa
como administrador y luego haga clic en Aceptar.
Paso 3. crear o administrar comunidades.
a. En la PC-A, inicie CCP. (Haga doble clic en el cono del escritorio de CCP o haga
clic en Inicio > Cisco Configuration Professional.
b. Si recibe un mensaje de advertencia de seguridad que le solicita que permita que el
programa CiscoCP.exe realice cambios en la computadora, haga clic en S.
c. Cuando se inicia CCP, aparece el cuadro de dilogo Select/Manage Community

(Seleccionar/administrar comunidad). Introduzca la direccin IP para la G0/1 del R1,
y el nombre de usuario admin y la contrasea adminpass1 que agreg a la base de
datos local durante la configuracin del router en la parte 2. Haga clic en Aceptar.
d. En la venta Community Information (Informacin de comunidad), haga clic en

Discover (Detectar).
Si configur el router correctamente, el Discovery Status (Estado de deteccin)

cambia de Not discovered (No detectado) a Discovered (Detectado) y el R1 aparece
en la columna Router Hostname (Nombre de host del router).
Nota: si hay un problema de configuracin, ver el estado Discovery failed (Error de
deteccin). Haga clic en Discovery Details (Detalles de deteccin) para determinar
el motivo de la falla en el proceso de deteccin y luego resuelva el problema.
Parte 5. configurar los parmetros del R1 con CCP
En la parte 5, utilizar CCP para mostrar informacin sobre el R1, configurar la interfaz
G0/0, establecer la fecha y hora, agregar un usuario a la base de datos local y cambiar la
configuracin de vty.
Paso 1. ver el estado de las interfaces en el R1.

a. En la barra de herramientas de CCP, haga clic en Monitor.
b. En el panel de navegacin izquierdo, haga clic en Router > Overview (Router >
Descripcin general) para visualizar la pantalla Monitor Overview (Descripcin
general del monitor) en el panel de contenido derecho.
c. Utilice las flechas arriba y abajo en el lado derecho de la lista de interfaces para
desplazarse por la lista de interfaces del router.
Paso 2. usar el asistente de LAN Ethernet para configurar la interfaz G0/0.
a. En la barra de herramientas de CCP, haga clic en Configure (Configurar).
b. En el panel de navegacin izquierdo, haga clic en Interface Management

(Administracin de interfaz) > Interface and Connections (Interfaz y conexiones)
para visualizar la pantalla Interfaces and Connections (Interfaces y conexiones) en el
panel de contenido derecho.
c. Haga clic en Create New Connection (Crear conexin nueva) para iniciar el asistente
de LAN Ethernet.
d. Cuando se le solicite habilitar AAA en el router, haga clic en No.
e. Haga clic en Next (Siguiente) para avanzar por el proceso de creacin de interfaces
Ethernet de capa 3.
f. Mantenga seleccionado el botn de opcin Configure this interface for straight
routing (Configurar esta interfaz para routing directo) y haga clic en Next.
g. Introduzca 192.168.0.1 en el campo de direccin IP y 255.255.255.0 en el campo de
mscara de subred y luego haga clic en Next.
h. Mantenga seleccionado el botn de opcin No en la pantalla del servidor de DHCP y
haga clic en Next.
i. Revise la pantalla de resumen y haga clic en Finish (Finalizar).
j. Haga clic en la casilla de verificacin Save running config to devices startup
config (Guardar configuracin en ejecucin en la configuracin de inicio del
dispositivo) y luego haga clic en Deliver (Entregar). Esta accin agrega los comandos
que aparecen en la ventana de vista previa a la configuracin en ejecucin y luego
guarda esta ltima en la configuracin de inicio en el router.
k. Aparece la ventana Commands Delivery Status (Estado de entrega de comandos).
Haga clic en OK para cerrar la ventana. Volver a la pantalla Interfaces and
Connections. G0/0 ahora debera estar de color verde y debera aparecer como Up
(Activa) en la columna Status (Estado).
Paso 3. establecer fecha y hora en el router.

a. En el panel de navegacin izquierdo, seleccione Router > Time > Date and Time
(Router > Hora > Fecha y hora) para que aparezca la pantalla Additional Tasks >
Date/Time (Tareas adicionales > Fecha/hora) en el panel de contenido derecho. Haga
clic en Change Settings... (Cambiar configuracin).
b. En la ventana Date and Time Properties (Propiedades de fecha y hora), edite Date
(Fecha), Time (Hora) y Time Zone (Zona horaria). Haga clic en Apply (Aplicar).
c. En la ventana de configuracin del reloj de Router, haga clic en OK. En la ventana

Date and Time Properties, haga clic en Close (Cerrar).
Paso 4. Agregue una cuenta de usuario nueva a la base de datos local.

a. En el panel de navegacin izquierdo, seleccione Router > Router Access > User
Accounts/View (Router > Acceso al router > Cuentas de usuario/Ver) para visualizar
la pantalla Additional Tasks > User Accounts/View en el panel de contenido derecho.
Haga clic en el botn Add (Agregar).
b. Introduzca ccpadmin en el campo Username: (Nombre de usuario:). Introduzca

ciscoccppass en los campos New Password: (Contrasea nueva:) y Confirm New
Password: (Confirmar contrasea nueva:). Seleccione 15 en la lista desplegable
Privilege Level: (Nivel de privilegio). Haga clic en OK para agregar este usuario a la
base de datos local.
c. En la ventana Deliver Configuration to Device (Entregar configuracin al
dispositivo), haga clic en la casilla de verificacin Save running config to devices
startup config y luego haga clic en Deliver.
d. Revise la informacin en la ventana Commands Delivery Status y haga clic en OK.
La cuenta de usuario nueva debera aparecer en el panel de contenido derecho.
Paso 5. editar la configuracin de las lneas vty.

a. En el panel de navegacin izquierdo, seleccione Router Access > VTY (Acceso al
router > VTY) para visualizar la ventana Additional Tasks > VTYs (Tareas
adicionales > VTY) en el panel de contenido derecho. Haga clic en Edit (Editar).
b. En la ventana Edit VTY Lines (Editar lneas vty), modifique el campo Time out:
(Tiempo de espera) y establzcalo en 15 minutos. Haga clic en la casilla de
verificacin Input Protocol > Telnet (Protocolo de entrada > Telnet). Revise las
otras opciones disponibles. Tambin seleccione la casilla de verificacin SSH. A
continuacin, haga clic en Aceptar.
c. En la pantalla Deliver Configuration to Device, revise los comandos que se entregarn
a la configuracin en ejecucin y haga clic en Deliver. En la ventana Commands
Delivery Status, haga clic en OK. El panel de contenido derecho debera reflejar los
cambios efectuados en el valor de tiempo de espera de ejecucin.
Parte 6. usar utilidades de CCP

En la parte 6, utilizar el panel Utilities (Utilidades) para guardar la configuracin en
ejecucin del router en la configuracin de inicio. Usar la utilidad Ping para probar la
conectividad de red y la utilidad View (Ver) para visualizar la configuracin en ejecucin del
router. Por ltimo, cerrar CCP.
Paso 1. guardar la configuracin en ejecucin del router en la configuracin de inicio.
a. En la parte inferior del panel de navegacin izquierdo, busque el panel Utilities
(Utilidades). Haga clic en Write to Startup Configuration (Escribir en la
configuracin de inicio).
b. El panel de contenido muestra una pantalla de confirmacin. Haga clic en

Confirmar. Aparece una ventana que le informa que la configuracin se guard
correctamente. Haga clic en Aceptar.
Paso 2. usar la utilidad Ping para probar la conectividad a la PC-B.

a. En el panel Utilities (Utilidades), haga clic en Ping and Traceroute (Ping y
traceroute) para mostrar la pantalla Ping and Traceroute en el panel de contenido.
Introduzca 192.168.0.3 en el campo Destination*: (Destino*:) y luego haga clic en
Ping. Use la barra de desplazamiento ubicada a la derecha del cuadro de resultados
para ver los resultados del ping.
Paso 3. Use la utilidad View para visualizar la configuracin en ejecucin del router.
a. En el panel Utilities, haga clic en View > IOS Show Commands (Ver > Comandos
show de IOS) para visualizar la pantalla IOS Show Commands en el panel de
contenido.
b. Seleccione show run en la lista desplegable y haga clic en Show (Mostrar). La

configuracin en ejecucin del router se muestra en el panel de contenido.
Paso 4. cerrar CCP.
Cierre la ventana de CCP. Cuando aparezca una ventana de confirmacin de Windows
Internet Explorer, haga clic en Salir de esta pgina.
Reflexin
1. Qu protocolo de transporte usa CCP para acceder al router, y qu comandos se usan
para permitir el acceso?
CCP utiliza el protocolo HTTP o HTTPS para accder al router. Para permitir el acceso
de CCP, se usan los comandos ip http server o ip http secure-server
2. Qu comando del router le indica a CCP que use la base de datos local para la
autenticacin?
3. Qu otros comandos show se encuentran disponibles en el panel Utilities de CCP?

show flash, show startup-config, show access-lists, show diag, show interfaces, show
versin, show tech-support, show environment, show run
4. Por qu usara CCP en vez de la CLI del IOS?
Por qu es una herramienta de administracin de dispositivos para acceso a los routers

de Cisco que simplifica la configuracin a travs de interfaz grfica de usuario basada
en asistentes, y no requiere de conocimientos especializados de networking
Actividades de las partes 4, 5 y 6 en Packet Tracer

5.1.3.6 Packet tracer - Configuracin del enrutamiento Inter-VLAN de Router-on-a-
Stick
Parte 1: conectividad de prueba sin enrutamiento entre VLAN

Paso 1: Ping entre PC1 y PC3.
Espere la convergencia del conmutador o haga clic en Avance rpido varias veces. Cuando
las luces del enlace son verdes para PC1 y PC3, ping entre PC1 y PC3.
R/ Como las dos PC estn en redes separadas y R1 no est configurado, el ping falla.
Paso 2: Cambia al modo de simulacin para monitorear los ping.
a. Cambie al modo Simulacin haciendo clic en la pestaa Simulacin o presionando
Shift + S.
b. Haga clic en Capturar / Avanzar para ver los pasos que realiza el ping entre PC1 y PC3.
Observe cmo el ping nunca sale de PC1. Qu proceso fall y por qu?
R/ El proceso ARP fall porque la solicitud ARP fue eliminada por PC3. PC1 y PC3 no
estn en la misma red, por lo que PC1 nunca obtiene la direccin MAC para PC3. Sin una
direccin MAC, la PC1 no puede crear una solicitud de eco ICMP.
Parte 2: Agregue VLAN a un Switch

Paso 1: Crear VLAN en S1.
Regrese al modo Realtime y cree VLAN 10 y VLAN 30 en S1.
S1(config)# vlan 10
Paso 2: Asignar VLAN a los puertos.

a. Configure la interfaz F0 / 6 y F0 / 11 como puertos de acceso y asigne VLAN.
Asignar PC1 a VLAN 10.
Asignar PC3 a VLAN 30.
b. Emita el comando show vlan brief para verificar la configuracin de VLAN.

Paso 3: probar la conectividad entre PC1 y PC3.
Desde PC1, ping PC3. Los pings an deberan fallar. Por qu los pings no tuvieron xito?
R/ Cada VLAN es una red separada y requiere un enrutador o un conmutador de capa 3
para proporcionar comunicacin entre ellos.
Parte 3: Configurar subinterfaces

Paso 1: configure subinterfaces en R1 usando la encapsulacin 802.1Q.
Establezca el tipo de encapsulacin en 802.1Q y asigne la VLAN 10 a la subinterfaz.
Consulte la tabla de direcciones y asigne la direccin IP correcta a la subinterfaz.
Paso 2: Verificar la configuracin.

a. Use el comando show ip interface brief para verificar la configuracin de la subinterfaz.
Ambas subinterfaces estn inactivas. Las subinterfaces son interfaces virtuales que estn
asociadas con una interfaz fsica. Por lo tanto, para habilitar las subinterfaces, debe habilitar
la interfaz fsica a la que estn asociadas.
b. Habilita la interfaz G0 / 0. Verifique que las subinterfaces estn ahora activas.
Parte 4: conectividad de prueba con el enrutamiento Inter-VLAN
Desde PC1, ping PC3. Los pings an deberan fallar.
Paso 2: habilitar el enlace troncal.

a. En S1, emita el comando show vlan. A qu VLAN se ha asignado G0 / 1? R/ VLAN 1
b. Debido a que el enrutador se configur con mltiples subinterfaces asignadas a
diferentes VLAN, el puerto del conmutador que se conecta al enrutador debe configurarse
como troncal. Habilite el enlace en la interfaz G0 / 1.
c. Cmo puede determinar que la interfaz es un puerto troncal usando el comando show
vlan? R/ La interfaz ya no figura en VLAN 1.
d. Emita el comando show interface trunk para verificar que la interfaz est configurada
como troncal.
Paso 3: cambia al modo de simulacin para monitorear los pings.

a. Cambie al modo Simulacin haciendo clic en la pestaa Simulacin o presionando
Shift + S.
b. Haga clic en Capturar / Avanzar para ver los pasos que realiza el ping entre PC1 y PC3.
c. Debera ver solicitudes ARP y respuestas entre S1 y R1. Entonces, ARP solicita y
responde entre R1 y S3. Entonces PC1 puede encapsular una solicitud de eco ICMP con la
informacin de capa de enlace de datos adecuada y R1 enrutar la solicitud a PC3.
5.1.3.7 Laboratorio configuracin de routing entre VLAN basado en enlaces troncales

802.1Q
Parte 1: armar la red y configurar los parmetros bsicos de los dispositivos
En la parte 1, configurar la topologa de la red y configurar los parmetros bsicos en los
equipos host, los switches y el router.
Paso 2. configurar los equipos host
Paso 3. inicializar y volver a cargar los routers y switches, segn sea necesario
Paso 4. configurar los parmetros bsicos para cada switch.

b. Configure los nombres de los dispositivos como se muestra en la topologa.
d. Asigne cisco como la contrasea de consola y la contrasea de vty.
e. Configure logging synchronous para la lnea de consola.
Configuracion S1
f. Configure la direccin IP que se indica en la tabla de direccionamiento para la VLAN 1

en ambos switches.
g. Configure el gateway predeterminado en los dos switches.

h. Desactive administrativamente todos los puertos que no se usen en el switch.
i. Copie la configuracin en ejecucin en la configuracin de inicio
Configuracin S2
Paso 5. configurar los parmetros bsicos para el router
Configuracin R1
Parte 2: configurar los switches con las VLAN y los enlaces troncales
En la parte 2, configurar los switches con las VLAN y los enlaces troncales
Paso 1. Configurar las VLAN en S1.

a. En el S1, configure las VLAN y los nombres que se indican en la tabla Especificaciones
de la asignacin de puertos de switch. En el espacio proporcionado, escriba los comandos
que utiliz.
S1(config)#vlan 10
S1(config-vlan)#name Students
S1(config-vlan)#vlan 20
S1(config-vlan)#name Faculty
S1(config-vlan)#exit
S1(config)#
p. En el S1, configure la interfaz conectada al R1 como enlace troncal. Tambin configure

la interfaz conectada al S2 como enlace troncal. En el espacio proporcionado, escriba los
comandos que utiliz.
q. En el S1, asigne el puerto de acceso para la PC-A a la VLAN 10. En el espacio
proporcionado, escriba
los comandos que utiliz.
S1(config)#interface f0/1
S1(config-if)#switchport mode trunk
S1(config-if)#exit
S1(config-if)#witchport mode trunk
S1(config-if)#switchport mode trunk
S1(config-if)#exit
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 10
S1(config-if)#exit
S1(config)#
Paso 6. configurar las VLAN en el switch 2.
a. En el S2, configure las VLAN y los nombres que se indican en la tabla Especificaciones
de la asignacin de puertos de switch.
r. En el S2, verifique que los nombres y nmeros de las VLAN coincidan con los del S1.
En el espacio proporcionado, escriba el comando que utiliz.
Verificacion S2
R/ show running-config
Verificacion S1
Parte 3: configurar routing entre VLAN basado en enlaces troncales

En la parte 3, configurar el R1 para enrutar a varias VLAN mediante la creacin de
subinterfaces para cada VLAN. Este mtodo de routing entre VLAN se denomina router-
on-a-stick.
Paso 1. configurar una subinterfaz para la VLAN 1.

a. Cree una subinterfaz en la interfaz G0/1 del R1 para la VLAN 1 y use el 1 como ID de la
subinterfaz. En el espacio proporcionado, escriba el comando que utiliz.
R/ interface g0/1.1
u. Configure la subinterfaz para que opere en la VLAN 1. En el espacio proporcionado,

escriba el comando que utiliz. R/ encapsulation dot1Q 1
v. Configure la subinterfaz con la direccin IP de la tabla de direccionamiento. En el

espacio proporcionado, escriba el comando que utiliz.
R/ ip address 192.168.1.1 255.255.255.0
a. Cree una subinterfaz en la interfaz G0/1 del R1 para la VLAN 10 y use el 10 como ID de
la subinterfaz.
w. Configure la subinterfaz para que opere en la VLAN 10.
x. Configure la subinterfaz con la direccin de la tabla de direccionamiento.

a. Cree una subinterfaz en la interfaz G0/1 del R1 para la VLAN 20 y use el 20 como ID de
la subinterfaz.
y. Configure la subinterfaz para que opere en la VLAN 20.
z. Configure la subinterfaz con la direccin de la tabla de direccionamiento.
Paso 9. habilitar la interfaz G0/1.

Habilite la interfaz G0/1. En el espacio proporcionado, escriba los comandos que utiliz.
Paso 10. Verifique la conectividad.
Introduzca el comando para ver la tabla de routing en el R1. Qu redes se enumeran?
R/ 192.168.1.0 - 192.168.10.0 - 192.168.20 209.165.200
Es posible hacer ping de la PC-A al gateway predeterminado de la VLAN 10? R/ SI

Es posible hacer ping de la PC-A a la PC-B? R/ SI
Es posible hacer ping de la PC-A a la interfaz Lo0? R/ SI
Es posible hacer ping de la PC-A al S2? R/ SI

6.2.2.5 Prctica de laboratorio: configuracin de rutas estticas y predeterminadas
IPv4
Parte 2. configurar los parmetros bsicos de los dispositivos y verificar la conectividad
Paso 3. configurar los parmetros bsicos en los routers.

a. Configure los nombres de los dispositivos, como se muestra en la topologa y en la tabla
de direccionamiento.
c. Asigne class como la contrasea de enable y asigne cisco como la contrasea de consola
y la contrasea de vty.
d. Guarde la configuracin en ejecucin en el archivo de configuracin de inicio.
Configuracion R1
Configuracion R3
Paso 4. configurar los parmetros IP en los routers
a. Configure las interfaces del R1 y el R3 con direcciones IP segn la tabla de
direccionamiento.
Configuracion interface R1
Configuracion interface R3
Configuracion de las Lo0 - Lo1
Paso 5. verificar la conectividad de las LAN.

a. Para probar la conectividad, haga ping de cada computadora al gateway predeterminado
que se configur para ese host.
Es posible hacer ping de la PC-A al gateway predeterminado? R/ SI
Es posible hacer ping de la PC-C al gateway predeterminado? R/ SI
f. Para probar la conectividad, haga ping entre los routers conectados directamente
Es posible hacer ping del R1 a la interfaz S0/0/0 del R3? R/ SI
g. Pruebe la conectividad entre los dispositivos que no estn conectados directamente
Es posible hacer ping de la PC-A a la PC-C? R/ NO
Es posible hacer ping de la PC-A a la interfaz Lo0? R/ NO
Es posible hacer ping de la PC-A a la interfaz Lo1? R/ NO

Los pings eran correctos? Por qu o por qu no?
R/ Los ping no son correctos porque el router1 que es donde esta conectado el PC-A no
conoce las redes del router3.
Paso 6. reunir informacin.

a. Revise el estado de las interfaces en el R1 con el comando show ip interface brief.
Cuntas interfaces estn activadas en el R1? R/ 2
h. Revise el estado de las interfaces en el R3.

Cuntas interfaces estn activadas en el R3? R/ 4
i. Vea la informacin de la tabla de routing del R1 con el comando show ip route.
Qu redes estn presentes en la tabla de direccionamiento de esta prctica de laboratorio,
pero no en la tabla de routing del R1? R/ 10.1.1.0/30 - 192.168.0.0/24
j. Vea la informacin de la tabla de routing para el R3.

Qu redes estn presentes en la tabla de direccionamiento de esta prctica de laboratorio,
pero no en la tabla de routing del R3? R/ 10.1.1.0/30 192.168.1.0/24 198.133.219.0/24 -
198.133.219.0/24
Por qu ninguna de las redes est presente en las tablas de enrutamiento para cada uno de
los routers?
Parte 3. Configure las rutas estticas.

Paso 1. Configure una ruta esttica recursiva.
Con una ruta esttica recursiva, se especifica la direccin IP del siguiente salto. Debido a
que solo se especifica la IP de siguiente salto, el router tiene que hacer varias bsquedas en
la tabla de routing antes de reenviar paquetes. Para configurar rutas estticas recursivas,
utilice la siguiente sintaxis:
Router(config)# ip route direccin-red mscara-subred direccin-ip
a. En el router R1, configure una ruta esttica a la red 192.168.1.0 utilizando la direccin IP
de la interfaz serial 0/0/0 del R3 como la direccin de siguiente salto. En el espacio
proporcionado, escriba el comando que utiliz.
R/ ip route 192.168.1.0 255.255.255.0 10.1.1.2
b. Observe la tabla de enrutamiento para verificar la entrada de la nueva ruta esttica.
Cmo se indica esta ruta nueva en la tabla de routing?

R/ S 192.168.1.0/24 [1/0] via 10.1.1.2
Es posible hacer ping del host PC-A host a al host PC-C? R/ NO

Estos pings deben fallar. Si la ruta esttica recursiva se configur correctamente, el ping
llega a la PC-C La PC-C enva un ping de respuesta a la PC-A. Sin embargo, este ping se
descarta en el R3, porque el R3 no tiene una ruta de retorno a la red 192.168.0.0 en la tabla
de routing.
Paso 7. configurar una ruta esttica conectada directamente.

Con una ruta esttica conectada directamente, se especifica el parmetro interfaz-salida,
que permite que el router resuelva una decisin de reenvo con una sola bsqueda. En
general, una ruta esttica conectada directamente se utiliza con una interfaz serial punto a
punto. Para configurar rutas estticas conectadas directamente con una interfaz de salida
especificada, utilice la siguiente sintaxis:
Router(config)# ip route direccin-red mscara-subred interfaz-salida
a. En el router R3, configure una ruta esttica a la red 192.168.0.0 con la interfaz S0/0/0
como la interfaz de salida. En el espacio proporcionado, escriba el comando que utiliz.
R/ ip route 192.168.0.0 255.255.255.0 10.1.1.1
c. Observe la tabla de enrutamiento para verificar la entrada de la nueva ruta esttica.
Cmo se indica esta ruta nueva en la tabla de routing? R/ S 192.168.0.0/24 [1/0] via
10.1.1.1
Es posible hacer ping del host PC-A host a al host PC-C? R/ SI
Este ping debe tener xito.
Paso 8. configurar una ruta esttica.

a. En el router R1, configure una ruta esttica a la red 198.133.219.0 utilizando una de las
opciones de configuracin de ruta esttica de los pasos anteriores. En el espacio
R/ ip route 198.133.219.0 255.255.255.0 10.1.1.2
e. En el router R1, configure una ruta esttica a la red 209.165.200.224 en el R3 utilizando

la otra opcin de configuracin de ruta esttica de los pasos anteriores. En el espacio
R/ ip route 209.165.200.224 255.255.255.252 10.1.1.2
f. Observe la tabla de enrutamiento para verificar la entrada de la nueva ruta esttica

R/ 198.133.219.0/24 is variably subnetted, 3 subnets
198.133.219.0/24 - 198.133.219.0/27 198.133.219.0/30
209.165.200.0/30 is subnetted, 1 subnets
209.165.200.224/30 [1/0] via 10.1.1.2
g. Es posible hacer ping del host PC-A a la direccin 198.133.219.1 del R1?
R/ SI
Este ping debe tener xito.

Paso 9. Elimine las rutas estticas de las direcciones de loopback.
a. En el R1, utilice el comando no para eliminar las rutas estticas de las dos direcciones de
loopback de la tabla de routing. En el espacio proporcionado, escriba los comandos que
utiliz. R/ no ip route 209.165.200.224 255.255.255.252 10.1.1.2
no ip route 198.133.219.0 255.255.255.0 10.1.1.2
h. Observe la tabla de routing para verificar si se eliminaron las rutas.

Cuntas rutas de red se indican en la tabla de routing del R1?
El gateway de ltimo recurso est establecido? R/ SI
Parte 4. configurar y verificar una ruta predeterminada
En la parte 4, implementar una ruta predeterminada, confirmar si la ruta se agreg a la
tabla de routing y verificar la conectividad sobre la base de la ruta introducida.
Una ruta predeterminada identifica el gateway al cual el router enva todos los paquetes IP
para los que no tiene una ruta descubierta o esttica. Una ruta esttica predeterminada es
una ruta esttica con 0.0.0.0 como direccin IP y mscara de subred de destino.
Comnmente, esta ruta se denomina ruta de cudruple cero.
En una ruta predeterminada, se puede especificar la direccin IP del siguiente salto o la
interfaz de salida. Para configurar una ruta esttica predeterminada, utilice la siguiente
sintaxis:
Router(config)# ip route 0.0.0.0 0.0.0.0 {ip-address or exit-intf}
a. Configure el router R1 con una ruta predeterminada que utilice la interfaz de salida
S0/0/1. En el espacio proporcionado, escriba el comando que utiliz.
R/ ip route 0.0.0.0 0.0.0.0 10.1.1.2
. Observe la tabla de enrutamiento para verificar la entrada de la nueva ruta esttica.

R/ S* 0.0.0.0/0 is directly connected, Serial0/0/1 [1/0] via 10.1.1.2
Cul es el gateway de ltimo recurso? R/ 192.168.0.1
c. Es posible hacer ping del host PC-A a 209.165.200.225? R/ SI
d. Es posible hacer ping del host PC-A a 198.133.219.1? R/ SI
Reflexin
1. Una nueva red 192.168.3.0/24 est conectada a la interfaz G0/0 del R1. Qu comandos
podran utilizarse para configurar una ruta esttica a esa red desde el R3?
Los comandos que puede se pueden utilizarse en este caso son:
iproute 192.168.3.0 255.255.255.0 10.1.1.1
ip route192.168.3.0 255.255.255.0 s0/0/0
iproute 0.0.0.0 0.0.0.0 s0/0/0. 2.
2. Ofrece alguna ventaja configurar una ruta esttica conectada directamente, en vez de
una ruta esttica?
R/ La configuracin de una ruta esttica conectada directamente permite que la tabla de
routing resuelva la interfaz de salida en una sola bsqueda, en vez de en dos bsquedas,
como se requiere para las rutas estticas recursivas.
3. Por qu es importante configurar una ruta predeterminada en un router?

R/ Es muy importante configurar una ruta predeterminada evita que el router descarte
paquetes en destinos desconocidos.
6.2.4.5 Laboratorio - Configuracin de rutas estticas y predeterminadas IPv6
Recursos necesarios
2 routers (Cisco 1941 con IOS de Cisco versin 15.2(4)M3, imagen universal o similar)
2 switches (Cisco 2960 con IOS de Cisco versin 15.0(2), imagen lanbasek9 o similar)
2 computadoras (Windows 7, Vista o XP con un programa de emulacin de terminal, como
Tera Term)
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos
de consola
Cables Ethernet y seriales, como se muestra en la topologa
Parte 1. armar la red y configurar los parmetros bsicos de los dispositivos

En la parte 1, realizar el cableado de la red y la configurar para que establezca la
comunicacin utilizando direccionamiento IPv6.
Paso 1. Realice el cableado de red tal como se muestra en el diagrama de topologa.
Paso 2. inicializar y volver a cargar los routers y los switches.
Paso 3. habilitar el routing de unidifusin IPv6 y configurar el direccionamiento IPv6 en los

routers.
a. Mediante Tera Term, acceda al router etiquetado R1 en el diagrama de la topologa
mediante el puerto de consola y asgnele el nombre R1.
b. En el modo de configuracin global, habilite el routing IPv6 en el R1.
R1(config)# ipv6 unicast-routing
c. Configure las interfaces de red en el R1 con direcciones IPv6. Observe que IPv6 est
habilitado en cada interfaz. La interfaz G0/1 tiene una direccin de unidifusin enrutable
globalmente, y se utiliza EUI-64 para crear la porcin del identificador de la interfaz de la
direccin. La interfaz S0/0/1 tiene una direccin local nica y enrutable de forma privada,
que se recomienda para las conexiones seriales punto a punto.
d. Asigne un nombre de dispositivo al router R3.
e. En el modo de configuracin global, habilite el routing IPv6 en el R3

f. Configure las interfaces de red en el R3 con direcciones IPv6. Observe que IPv6 est
habilitado en cada interfaz. La interfaz G0/1 tiene una direccin de unidifusin enrutable
globalmente, y se utiliza EUI-64 para crear la porcin del identificador de la interfaz de la
direccin. La interfaz S0/0/0 tiene una direccin local nica y enrutable de forma privada,
que se recomienda para las conexiones seriales punto a punto. La frecuencia de reloj est
establecida, porque es el extremo del DCE del cable serial.
Paso 4. deshabilitar el direccionamiento IPv4 y habilitar SLAAC de IPv6 para las interfaces
de red de las computadoras.
Paso 5. usar ipconfig y ping para verificar la conectividad LAN.
a. En la PC-A, abra un smbolo del sistema, escriba ipconfig /all y presione Enter. El
resultado debe ser similar al que se muestra a continuacin. En el resultado, debera ver que
la computadora ahora tiene una direccin IPv6 de unidifusin global, una direccin IPv6
link-local y una direccin IPv6 link-local de gateway predeterminado. Es posible que
tambin vea una direccin IPv6 temporal y, en direcciones del servidor DNS, tres
direcciones locales de sitio que empiezan con FEC0. Las direcciones locales de sitio son
direcciones privadas que tienen compatibilidad retrospectiva con NAT. Sin embargo, no
son compatibles con IPv6, y se reemplazaron con direcciones locales nicas.
C:\Users\User1> ipconfig /all
Sobre la base de la implementacin de la red y el resultado del comando ipconfig /all, la

PC-A recibi informacin de direccionamiento IPv6 del R1? R/ SI
I. Cul es la direccin IPv6 de unidifusin global de la PC-A? R/ 000C.CF7D.054D
m. Cul es la direccin IPv6 link-local de la PC-A? R/ FE80::20C:CFFF:FE7D:54D
n. Cul es la direccin IPv6 de gateway predeterminado de la PC-A?

R/ FE80::260:3EFF:FEAE:1A02
o. En la PC-A, use el comando ping -6 para emitir un ping IPv6 a la direccin link-local de
gateway predeterminado. Debera ver respuestas del router R1.
La PC-A recibi respuestas al ping hizo que al R1? R/ SI
p. Repita el paso 5a en la PC-C.
La PC-C recibi informacin de direccionamiento IPv6 del R3? R/ SI
q. Cul es la direccin IPv6 de unidifusin global de la PC-C? R/ 0040.0B10.A91B
r. Cul es la direccin IPv6 link-local de la PC-C? R/ FE80::240:BFF:FE10:A91B
s. Cul es la direccin IPv6 de gateway predeterminado de la PC-C?

R/ FE80::2D0:BCFF:FE6D:7802
En la PC-C, use el comando ping -6 para hacer ping al gateway predeterminado de la PC-C.
La PC-C recibi respuestas a los pings que hizo al R3? R/SI
u. Intente hacer ping -6 IPv6 de la PC-A a la direccin IPv6 de la PC-C
El ping se realiz correctamente? Por qu o por qu no?R/ No hay conexin porque el

route1 no conoce las redes del route3
Paso 6. Use los comandos show para verificar la configuracin de IPv6.

a. Revise el estado de las interfaces en el R1 con el comando show ipv6 interface brief.
Cules son las dos direcciones IPv6 de la interfaz G0/1 y qu tipo de direcciones IPv6
son?
R/ las dos redes son: FE80::260:3EFF:FEAE:1A02 -
2001:DB8:ACAD:A:260:3EFF:FEAE:1A02, una troncal y la otra global
Cules son las dos direcciones IPv6 de la interfaz S0/0/1 y qu tipo de direcciones IPv6
son?
R/ Las dos redes del S0/0/1 son FE80::260:3EFF:FEAE:1A01 - FC00::1 tambien una
red troncal y la otra global
v. Para ver informacin ms detallada sobre las interfaces IPv6, escriba el comando
show ipv6 interface en el R1 y presione Enter.
Cules son las direcciones del grupo de multidifusin de la interfaz Gigabit Ethernet 0/1?
R/ FF02::1 - FF02::2 - FF02::1:FFAE:1A02
Cules son las direcciones del grupo de multidifusin de la interfaz S0/0/1?
R/ FF02::1 - FF02::2 - FF02::1:FF00:1 FF02::1:FFAE:1A01

Para qu se usa la direccin de multidifusin FF02::1? R/ Como enlace local de todos los
nodos
Para qu se usa la direccin de multidifusin FF02::2? R/ Como enlace local de todos los
enrutadores
Qu tipo de direcciones de multidifusin son FF02::1:FF00:1 y FF02::1:FF0D:1A60 y
para qu se usan?
R/ Son direcciones multicast de nodo solicitado y se utilizan para enviar un nico
paquete a uno o ms destinos
w. Vea la informacin de la tabla de routing IPv6 del R1 con el comando show ipv6 route.
La tabla de routing IPv6 debe tener dos rutas conectadas, una para cada interfaz, y tres rutas
locales, una para cada interfaz y otra para el trfico de multidifusin a una interfaz Null0.
De qu forma el resultado de la tabla de routing del R1 revela el motivo por el que no
pudo hacer ping de la PC-A a la PC-C?
R/ El ping no fue exitoso, porque el router R1 no conoce la ruta hacia la PC-C
Parte 2. configurar rutas estticas y predeterminadas IPv6

En la parte 2, configurar rutas estticas y predeterminadas IPv6 de tres maneras distintas.
Confirmar que las rutas se agreguen a las tablas de routing y verificar que la conectividad
entre la PC-A y la PC-C sea correcta.
Paso 1. configurar una ruta esttica IPv6 conectada directamente.

En una ruta esttica IPv6 conectada directamente, la entrada de ruta especifica la interfaz de
salida del router. En general, una ruta esttica conectada directamente se utiliza con una
interfaz serial punto a punto. Para configurar una ruta esttica IPv6 conectada directamente,
utilice el siguiente formato de comando:
Router(config)# ipv6 route <ipv6-prefix/prefix-length> <outgoing-interfacetype>
<outgoing-interface-number>
a. En el router R1, configure una ruta esttica IPv6 a la red 2001:DB8:ACAD:B::/64 en el

R3 mediante la interfaz de salida S0/0/1 del R1.
R1(config)# ipv6 route 2001:DB8:ACAD:B::/64 serial 0/0/1

R1(config)#
b. Consulte la tabla de routing IPv6 para verificar la entrada de la ruta esttica nueva.
Cul es la letra de cdigo y la entrada de la tabla de routing de la ruta que se agreg

recientemente a la tabla de routing?
R/ S 2001:DB8:ACAD:B::/64 [1/0] via Serial0/0/1, directly connected
c. Ahora que la ruta esttica se configur en el R1, es posible hacer ping de la PC-A al
host PC-C? R/ NO
ping 2001:db8:acad:b:240:bff:fe10:a91b
d. En el router R3, configure una ruta esttica IPv6 a la red 2001:DB8:ACAD:A::/64,
mediante la interfaz de salida S0/0/0 del R3.
R3(config)# ipv6 route 2001:DB8:ACAD:A::/64 serial 0/0/0
R3(config)#
e. Ahora que ambos routers tienen rutas estticas, intente hacer ping -6 de IPv6 desde la
PC-A hasta la direccin IPv6 de unidifusin global de la PC-C.
El
ping se realiz correctamente? Por qu?
R/ Se realiz satisfactoriamente, porque tanto R3 como R1 tienen rutas estticas
configuradas, y as los paquetes pueden retornar.
Paso 7. configurar una ruta esttica IPv6 recursiva

En una ruta esttica IPv6 recursiva, la entrada de ruta tiene la direccin IPv6 del router del
siguiente salto. Para configurar una ruta esttica IPv6 recursiva, utilice el siguiente formato
de comando:
Router(config)# ipv6 route <ipv6-prefix/prefix-length> <next-hop-ipv6-
address>
a. En el router R1, elimine la ruta esttica conectada directamente y agregue una ruta
esttica recursiva.
R1(config)# no ipv6 route 2001:DB8:ACAD:B::/64 serial 0/0/1

R1(config)# ipv6 route 2001:DB8:ACAD:B::/64 FC00::2
R1(config)# exit
f. En el router R3, elimine la ruta esttica conectada directamente y agregue una ruta
esttica recursiva.
R3(config)# no ipv6 route 2001:DB8:ACAD:A::/64 serial 0/0/0
R3(config)# ipv6 route 2001:DB8:ACAD:A::/64 FC00::1
R3(config)# exit
g. Consulte la tabla de routing IPv6 del R1 para verificar la entrada de la ruta esttica
nueva.
Cul es la letra de cdigo y la entrada de la tabla de routing de la ruta que se agreg
recientemente a la tabla de routing?
R/ S 2001:DB8:ACAD:B::/64 [1/0]
h. Para verificar la conectividad, emita un comando ping -6 de la PC-A a la PC-C.
El ping se realiz correctamente? R/ SI
Paso 8. configurar una ruta esttica predeterminada IPv6.

En una ruta esttica predeterminada, el prefijo IPv6 de destino y la longitud de prefijo son
todos ceros.
Router(config)# ipv6 route ::/0 <outgoing-interface-type> <outgoing

interface-number> {and/or} <next-hop-ipv6-address>
a. En el router R1, elimine la ruta esttica recursiva y agregue una ruta esttica
predeterminada.
R1(config)# no ipv6 route 2001:DB8:ACAD:B::/64 FC00::2

R1(config)# ipv6 route ::/0 serial 0/0/1
R1(config)#
i. En el R3, elimine la ruta esttica recursiva y agregue una ruta esttica predeterminada.
j. Consulte la tabla de routing IPv6 del R1 para verificar la entrada de la ruta esttica nueva.
Cul es la letra de cdigo y la entrada de la tabla de routing de la ruta predeterminada que
se agreg recientemente a la tabla de routing?
R/ S ::/0 [1/0] via Serial0/0/0, receive
k. Para verificar la conectividad, emita un comando ping -6 de la PC-A a la PC-C.
El ping se realiz correctamente? R/ SI
Reflexin
1. Esta prctica de laboratorio se centra en la configuracin de rutas estticas y
predeterminadas IPv6. Puede pensar en una situacin en la que tendra que configurar
rutas estticas y predeterminadas IPv6 e IPv4 en un router?
R/ Debido al agotamiento de ipv4, ipv6 es la mejor opcin, sin embargo si el
administrador de red siente la necesidad de ipv4 e ipv6 deber realizar la
configuracin respectiva.
2. En la prctica, la configuracin de rutas estticas y predeterminadas IPv6 es muy similar

a la configuracin de rutas estticas y predeterminadas IPv4. Independientemente de las
diferencias obvias entre el direccionamiento IPv6 e IPv4, cules son algunas otras
diferencias que se observan al configurar y verificar una ruta esttica IPv6 en comparacin
con una ruta esttica IPv4?
R/ Al igual que ocurre en IPv4, la informacin de enrutamiento a utilizar en IPv6
puede ser ingresada de modo esttico o dinmico.
6.3.3.7 Prctica de laboratorio: diseo e implementacin de direccionamiento IPv4

con VLSM
Recursos necesarios:
3 routers (Cisco 1941 con IOS de Cisco versin 15.2(4)M3, imagen universal o
similar)
1 computadora (con un programa de emulacin de terminal, como Tera Term, para
configurar los routers)
Cable de consola para configurar los dispositivos con IOS de Cisco mediante los
puertos de consola
Cables Ethernet (optativo) y seriales, como se muestra en la topologa
Calculadora de Windows (optativo)
Parte 1: examinar los requisitos de la red

En la parte 1, examinar los requisitos de la red y utilizar la direccin de red 172.16.128.0/17
para desarrollar un esquema de direcciones VLSM para la red que se muestra en el diagrama
de la topologa.
Nota: puede utilizar la aplicacin Calculadora de Windows y la calculadora de subredes IP
de www.ipcalc.org como ayuda para sus clculos.
Paso 1: determinar la cantidad de direcciones host disponibles y la cantidad de subredes que

se necesitan.
Cuntas direcciones host se encuentran disponibles en una red /17? 215 2 = 32766
Cul es la cantidad total de direcciones host que se necesitan en el diagrama de la topologa?
31506
Cuntas subredes se necesitan en la topologa de la red? 9
Paso 2: determinar la subred ms grande que se necesita.

Descripcin de la subred (p. ej., enlace BR1 G0/1 LAN o BR1-HQ WAN) HQ G0/0 LAN
Cuntas direcciones IP se necesitan en la subred ms grande? 16000 hosts
Cul es la subred ms pequea que admite esa cantidad de direcciones?
Una con /18 bits
Cuntas direcciones host admite esa subred? para hosts 214 2 = 16382
Se puede dividir la red 172.16.128.0/17 en subredes para admitir esta subred? Si
Cules son las dos direcciones de red que se obtendran de esta divisin en subredes?
172.16.128.0/18 - 172.16.191.255
172.16.192.0/18
Utilice la primera direccin de red para esta subred.
Paso 3: determinar la segunda subred ms grande que se necesita.

Descripcin de la subred HQ G0/1 LAN
Cuntas direcciones IP se necesitan para la segunda subred ms grande? 8000 hosts
Cul es la subred ms pequea que admite esa cantidad de hosts?
La direccin con prefijo /19
Cuntas direcciones host admite esa subred? 213 2 = 8190
Se puede volver a dividir la subred restante en subredes sin que deje de admitir esta subred?
Si
172.16.192.0/19 172.16.11011111.11111111 (172.16.223.255)
172.16.224.0/19
Paso 4: determinar la siguiente subred ms grande que se necesita.

Descripcin de la subred BR1 G0/1 LAN
Cuntas direcciones IP se necesitan para la siguiente subred ms grande? 4000
Cul es la subred ms pequea que admite esa cantidad de hosts? Una con prefijo /20
Si
172.16.224.0/20 172.16.11101111.11111111 (172.16.239.255)
172.16.240.0/20

Cuntas direcciones IP se necesitan para la siguiente subred ms grande? 2000
Si
172.16.240.0/21 172.16.11110111.11111111 (172.16.247.255)
172.16.248.0/21

Cuntas direcciones IP se necesitan para la siguiente subred ms grande? Para 1000 hosts
Si
172.16.248.0/22 172.16.11111011.11111111 (172.16.251.255)
172.16.252.0/22

Cuntas direcciones IP se necesitan para la siguiente subred ms grande? Para 500 hosts
Si
172.16.252.0/23 172.16.11111101.11111111 (172.16.253.255)
172.16.254.0/23
Paso 8: determinar las subredes que se necesitan para admitir los enlaces seriales.
Cuntas direcciones host se necesitan para cada enlace de subred serial? Para 2 terminales
Cul es la subred ms pequea que admite esa cantidad de direcciones host?
Una con prefijo /30
Divida la subred restante en subredes y, a continuacin, escriba las direcciones de red que se
obtienen de esta divisin.
172.16.254.0/23 172.16.11111110.11111111 (172.16.254.255)
172.16.255.0/23
Siga dividiendo en subredes la primera subred de cada subred nueva hasta obtener cuatro
subredes /30. Escriba las primeras tres direcciones de red de estas subredes /30 a
continuacin.
172.16.254.0/30 172.16.11111110.00000011 (172.16.254.3)
172.16.254.4/30 172.16.11111110.00000111 (172.16.254.7)
172.16.254.8/30
Introduzca las descripciones de las subredes de estas tres subredes a continuacin.
Enlace serial HQ - BR1
Enlace serial HQ BR2
Enlace serial BR1 BR2
Parte 2: disear el esquema de direcciones VLSM

Paso 1: calcular la informacin de subred.
Utilice la informacin que obtuvo en la parte 1 para completar la siguiente tabla.
Cantidad de Primera
Descripcin de la Direccin de Direccin de
hosts direccin de
subred red/CIDR broadcast
necesarios host
HQ G0/0 16 000 172.16.128.0/18 172.16.128.1 172.16.191.255
HQ G0/1 8 000 172.16.192.0/19 172.16.192.1 172.16.223.255
BR1 G0/1 4 000 172.16.224.0/20 172.16.224.1 172.16.239.255
BR1 G0/0 2 000 172.16.240.0/21 172.16.240.1 172.16.247.255
BR2 G0/1 1.000 172.16.248.0/22 172.16.248.1 172.16.251.255
BR2 G0/0 500 172.16.252.0/23 172.16.252.1 172.16.253.255
HQ S0/0/0-BR1
S0/0/0 2 172.16.254.0/30 172.16.254.1 172.16.254.3
HQ S0/0/1-BR2
S0/0/1 2 172.16.254.4/30 172.16.254.5 172.16.254.7
BR1 S0/0/1-BR2
S0/0/0 2 172.16.254.8/30 172.16.254.9 172.16.254.11
Paso 2: completar la tabla de direcciones de interfaces de dispositivos.
Asigne la primera direccin host en la subred a las interfaces Ethernet. A HQ se le debera
asignar la primera direccin host en los enlaces seriales a BR1 y BR2. A BR1 se le debera
asignar la primera direccin host para el enlace serial a BR2.
Dispositiv Interfa Mscara de
Direccin IP Interfaz del dispositivo
o z subred
G0/0 172.16.128.1 255.255.192.0 LAN de 16 000 hosts
G0/1 172.16.192.1 255.255.224.0 LAN de 8000 hosts
HQ
S0/0/0 172.16.254.1 255.255.255.252 BR1 S0/0/0
S0/0/1 172.16.254.5 255.255.255.252 BR2 S0/0/1
G0/0 172.16.240.1 255.255.248.0 LAN de 2000 hosts
G0/1 172.16.224.1 255.255.240.0 LAN de 4000 hosts
BR1
S0/0/0 172.16.254.2 255.255.255.252 HQ S0/0/0
S0/0/1 172.16.254.9 255.255.255.252 BR2 S0/0/0
G0/0 172.16.252.1 255.255.254.0 LAN de 500 hosts
G0/1 172.16.248.1 255.255.252.0 LAN de 1000 hosts
BR2 172.16.254.1 BR1 S0/0/1
S0/0/0 0 255.255.255.252
S0/0/1 172.16.254.6 255.255.255.252 HQ S0/0/1
Parte 3: realizar el cableado y configurar la red IPv4

En la parte 3, realizar el cableado de la topologa de la red y configurar los tres routers con
el esquema de direcciones VLSM que elabor en la parte 2.
Paso 1: realizar el cableado de red tal como se muestra en la topologa.

Paso 2: configurar los parmetros bsicos en cada router.
a. Asigne el nombre de dispositivo al router.
b. Deshabilite la bsqueda DNS para evitar que el router intente traducir los comandos
incorrectamente introducidos como si fueran nombres de host.
c. Asigne class como la contrasea cifrada del modo EXEC privilegiado.
d. Asigne cisco como la contrasea de consola y habilite el inicio de sesin.
e. Asigne cisco como la contrasea de vty y habilite el inicio de sesin.
g. Cree un aviso que advierta a todo aquel que acceda al dispositivo que el acceso no
Paso 3: configurar las interfaces en cada router.
a. Asigne una direccin IP y una mscara de subred a cada interfaz utilizando la tabla que
complet en la parte 2.
b. Configure una descripcin de interfaz para cada interfaz.
c. Establezca la frecuencia de reloj en 128000 en todas las interfaces seriales DCE.
HQ(config-if)# clock rate 128000
d. Active las interfaces.
Paso 4: guardar la configuracin en todos los dispositivos.
Paso 5: Probar la conectividad

a. Haga ping de HQ a la direccin de la interfaz S0/0/0 de BR1.
b. Haga ping de HQ a la direccin de la interfaz S0/0/1 de BR2.
c. Haga ping de BR1 a la direccin de la interfaz S0/0/0 de BR2.
Si los pings no se realizaron correctamente, resuelva los problemas de conectividad.
Reflexin
Puede pensar en un atajo para calcular las direcciones de red de las subredes /30
consecutivas?
Lo ms fcil es sumarle 4 al ltimo octeto de la direccin final asignada.
6.4.2.5 Practica de laboratorio: calculo de rutas resumidas IPv4 e IPv6
Topologa
Subred Direccin IPv4 Direccin IPv6
LAN1 de HQ 192.168.64.0/23 2001:DB8:ACAD:E::/64
LAN2 de HQ 192.168.66.0/23 2001:DB8:ACAD:F::/64
LAN1 de EAST 192.168.68.0/24 2001:DB8:ACAD:1::/64
LAN2 de EAST 192.168.69.0/24 2001:DB8:ACAD:2::/64
LAN1 de WEST 192.168.70.0/25 2001:DB8:ACAD:9::/64
192.168.70.128/2
LAN2 de WEST 5 2001:DB8:ACAD:A::/64
Enlace desde HQ a ESTE 192.168.71.4/30 2001:DB8:ACAD:1000::/64
Enlace desde HQ a
WEST 192.168.71.0/30 2001:DB8:ACAD:2000::/64
Enlace desde HQ a ISP 209.165.201.0/30 2001:DB8:CC1E:1::/64
Recursos necesarios
1 computadora (Windows 7, Vista o XP, con acceso a Internet)
Optativo: calculadora para convertir los valores hexadecimales y decimales en valores
binarios
Parte 1 calcular rutas resumidas IPv4
Paso 1 Indique la mscara de subred de la direccin IP de la LAN1 de HQ y la LAN2 de
HQ en formato decimal.
Paso 2 Indique la direccin IP de la LAN1 de HQ y la LAN2 de HQ en formato binario.
Paso 3 Contar el nmero de bits coincidentes que se encuentran en el extremo izquierdo
para determinar la mscara de subred para la ruta resumida.
a. Cuntos bits coincidentes en el extremo izquierdo estn presentes en las dos redes?
22
b. Indique la mscara de subred para la ruta resumida en formato decimal.
Paso 4 copiar los bits binarios coincidentes y luego agregar todos ceros para determinar la
direccin de red resumida.
c. Indique los bits binarios coincidentes de las subredes de la LAN1 de HQ y la LAN2
de HQ.
d. Agregue ceros para conformar el resto de la direccin de red en formato binario.
e. Indique las direcciones de red resumidas en formato decimal.
Direccin Mscara de Direccin IP de la subred en formato
Subred IPv4 subred binario
LAN1 de HQ 192.168.64.0 255.255.254.0 11000000.10101000.01000000.00000000
LAN2 de HQ 192.168.66.0 255.255.254.0 11000000.10101000.01000010.00000000
Direccin de
resumen de las
LAN de HQ 192.168.64.0 255.255.252.0 11000000.10101000.01000000.00000000
Paso 5 indicar la mscara de subred de la direccin IP de la LAN1 ESTE y la LAN2 ESTE

en formato decimal.
Paso 6 indicar la direccin IP de la LAN1 ESTE y la LAN2 ESTE en formato binario.
Paso 7 contar el nmero de bits coincidentes que se encuentran en el extremo izquierdo
a. Cuntos bits coincidentes en el extremo izquierdo estn presentes en las dos redes? 23
bits
a. Indique los bits binarios coincidentes de las subredes de la LAN1 ESTE y la LAN2
ESTE.
b. Agregue ceros para conformar el resto de la direccin de red en formato binario.
c. Indique las direcciones de red resumidas en formato decimal.
Direccin Mscara de
Subred IPv4 subred Direccin de subred en formato binario
LAN1 de
EAST 192.168.68.0 255.255.255.0 11000000.10101000.01000100.00000000
LAN2 de
EAST 192.168.69.0 255.255.255.0 11000000.10101000.01000101.00000000
Direccin de
resumen de
las LAN
ESTE 192.168.68.0 255.255.254.0 11000000.10101000.01000100.00000000
Paso 9 indicar la mscara de subred de la direccin IP de la LAN1 OESTE y la LAN2

OESTE en formato decimal.
Paso 10 indicar la direccin IP de la LAN1 OESTE y la LAN2 OESTE en formato binario.
a. Cuntos bits coincidentes en el extremo izquierdo estn presentes en las dos redes? 24
bits
a. Indique los bits binarios coincidentes de las subredes de la LAN1 OESTE y la LAN2
OESTE.
Mscara de Direccin IP de la subred en formato
Subred Direccin IPv4 subred binario
LAN1 de
WEST 192.168.70.0 255.255.255.128 11000000.10101000.01000110.00000000
LAN2 de
WEST 192.168.70.128 255.255.255.128 11000000.10101000.01000110.00000000
Direccin
de
resumen
de las
LAN
OESTE 192.168.70.0 255.255.255.0 11000000.10101000.01000110.00000000
Paso 13 indicar la direccin IP y la mscara de subred de la ruta resumida de HQ, ESTE y

OESTE en formato decimal.
Paso 14 indicar la direccin IP de la ruta resumida de HQ, ESTE y OESTE en formato
binario.
a. Cuntos bits coincidentes en el extremo izquierdo estn presentes en las tres redes? 21
bits
a. Indique los bits binarios coincidentes de las subredes de HQ, ESTE y OESTE.
Direccin Mscara de Direccin IP de la subred en formato
Subred IPv4 subred binario
HQ 192.168.64.0 255.255.252.0 11000000.10101000.01000000.00000000
EAST 192.168.68.0 255.255.254.0 11000000.10101000.01000100.00000000
WEST 192.168.70.0 255.255.255.0 11000000.10101000.01000110.00000000
Ruta resumida
de la direccin
de red 192.168.64.0 255.255.248.0 11000000.10101000.01000000.00000000
Parte 1 calcular rutas resumidas IPv6

Topologa
Subred Direccin IPv6
LAN1 de HQ 2001:DB8:ACAD:E::/64
LAN2 de HQ 2001:DB8:ACAD:F::/64
LAN1 de EAST 2001:DB8:ACAD:1::/64
LAN2 de EAST 2001:DB8:ACAD:2::/64
LAN1 de WEST 2001:DB8:ACAD:9::/64

LAN2 de WEST 2001:DB8:ACAD:A::/64
Enlace desde HQ a 2001:DB8:ACAD:1000::/6

ESTE 4
Enlace desde HQ a 2001:DB8:ACAD:2000::/6

WEST 4
Enlace desde HQ a ISP 2001:DB8:CC1E:1::/64
Paso 1 indicar los primeros 64 bits de la mscara de subred de la direccin IP de la LAN1

de HQ y la LAN2 de HQ en formato hexadecimal.
Paso 2 indicar la ID de subred (bits 48 a 64) de la LAN1 de HQ y la LAN2 de HQ en
formato binario.
a. Cuntos bits coincidentes en el extremo izquierdo estn presentes en las dos ID de
subred? 63 bits
b. Indique la mscara de subred de los primeros 64 bits de la ruta resumida en formato
decimal.
a. Indique los bits binarios de la ID de subred coincidentes para las subredes LAN1 de HQ
y LAN2 de HQ.
b. Agregue ceros para conformar el resto de la direccin de ID de subred en formato
binario.
Mscara de subred de los ID de subred en
Subred Direccin IPv6 primeros 64 bits formato binario
LAN1 de
HQ 2001:DB8:ACAD:E::/64 FFFF:FFFF:FFFF:FFFF 0000000000001110
LAN2 de
HQ 2001:DB8:ACAD:F::/64 FFFF:FFFF:FFFF:FFFF 0000000000001111
Direccin de
resumen de
las LAN de
HQ 2001:DB8:ACAD:E::/63 FFFF:FFFF:FFFF:FFFE 0000000000001110
Paso 5. indicar los primeros 64 bits de la mscara de subred de la direccin IP de la LAN1

ESTE y la LAN2 ESTE en formato hexadecimal.
Paso 6. indicar la ID de subred (bits 48 a 64) de la LAN1 ESTE y la LAN2 ESTE en
formato binario.
subred? 62 bits
decimal.
a. Indique los bits binarios coincidentes de las subredes de la LAN1 ESTE y la LAN2
ESTE.
binario.
Mscara de subred de los ID de subred en formato
Subred Direccin IPv6 primeros 64 bits binario
LAN1 de
EAST 2001:DB8:ACAD:1::/64 FFFF:FFFF:FFFF:FFFF 0000000000000001
LAN2 de
EAST 2001:DB8:ACAD:2::/64 FFFF:FFFF:FFFF:FFFF 0000000000000010
Direccin de
resumen de
las LAN
ESTE 2001:DB8:ACAD::/62 FFFF:FFFF:FFFF:FFFC 0000000000000000
Paso 9 indicar los primeros 64 bits de la mscara de subred de la direccin IP de la LAN1
OESTE y la LAN2 OESTE en formato decimal.
Paso 10 indicar la ID de subred (bits 48 a 64) de la LAN1 OESTE y la LAN2 OESTE en
formato binario.
subred? 62 bits
decimal.
a. Indique los bits binarios coincidentes de las subredes de la LAN1 OESTE y la LAN2
OESTE.
binario.
Mscara de subred de los ID de subred en
Subred Direccin IPv6 primeros 64 bits formato binario
LAN1 de
WEST 2001:DB8:ACAD:9::/64 FFFF:FFFF:FFFFF:FFFF 0000000000001001
LAN2 de
WEST 2001:DB8:ACAD:A::/64 FFFF:FFFF:FFFFF:FFFF 0000000000001010
Direccin de
resumen de
las LAN
OESTE 2001:DB8:ACAD:8::/62 FFFF:FFFF:FFFFF:FFFC 0000000000001000
Paso 13 indicar la direccin IP de la ruta resumida y los primeros 64 bits de la mscara de

subred de HQ, ESTE y OESTE en formato decimal.
Paso 14 indicar la ID de subred de la ruta resumida de HQ, ESTE y OESTE en formato
binario.
a. Cuntos bits coincidentes en el extremo izquierdo estn presentes en las tres ID de
subred? 60 bits
decimal.
a. Indique los bits binarios coincidentes de las subredes de HQ, ESTE y OESTE.
binario.
Mscara de subred de los ID de subred en formato
Subred Direccin IPv6 primeros 64 bits binario
HQ 2001:DB8:ACAD:E::/63 FFFF:FFFF:FFFF:FFFE 0000000000001110
EAST 2001:DB8:ACAD::/62 FFFF:FFFF:FFFF:FFFC 0000000000000000
WEST 2001:DB8:ACAD:8::/62 FFFF:FFFF:FFFF:FFFC 0000000000001000
Ruta
resumida
de la
direccin
de red 2001:DB8:ACAD::/60 FFFF:FFFF:FFFF:FFF0 0000000000000000
Reflexin
Qu diferencia existe entre determinar la ruta resumida para IPv4 y determinarla para
IPv6?
Las longitudes de las direcciones IPv6 en cuanto a bits es mayor a las de IPv4 para realizar
las respectivas comparaciones (128 bits versus 32 bits), y adems es necesario en las
direcciones IPv6 transformar las direcciones de hexadecimal a binario diferente a las IPv4
que se debe transformar de decimal a binario.
Por qu las rutas resumidas son beneficiosas para una red?

Porque resume las diferentes direcciones que componen una ruta, disminuyendo as los
recursos de hardware en el router que usa en su procesamiento.
6.5.1.2 Packet Tracer - Layer 2 Security
Topologa
Antecedentes / escenario
Ha habido una serie de ataques en la red recientemente. Por este motivo, el administrador de
red le ha asignado la tarea de configurar la seguridad de Capa 2.
Para un rendimiento y seguridad ptimos, el administrador desea asegurarse de que el puente

raz sea el conmutador central 3560. Para evitar ataques de manipulacin de rbol de
expansin, el administrador desea asegurarse de que los parmetros de STP sean seguros.
Adems, el administrador de red desea habilitar el control de tormentas para evitar tormentas
de transmisin. Finalmente, para prevenir ataques de desbordamiento de la tabla de
direcciones MAC, el administrador de la red ha decidido configurar la seguridad del puerto
para limitar el nmero de direcciones MAC que se pueden aprender por puerto del
conmutador. Si el nmero de direcciones MAC excede el lmite establecido, el administrador
desea que el puerto se cierre.
Todos los dispositivos de conmutacin han sido preconfigurados con lo siguiente:
o Habilitar contrasea: ciscoenpa55

o Contrasea de la consola: ciscoconpa55
o Contrasea de la lnea VTY: ciscovtypa55
Parte 1: Configurar Root Bridge
Paso 1: determina el puente raz actual.

Desde Central, ejecute el comando show spanning-tree para determinar el puente raz actual
y para ver los puertos en uso y su estado.
Qu interruptor es el puente raz actual?
La raz actual es SW-1
Paso 2: Asigne Central como el puente raz principal.
Utilizando el comando primario de raz vlan 1 de spanning-tree, asigne Central como el
puente raz.
Central(config)# spanning-tree vlan 1 root primary
Paso 3: Asigne SW-1 como un puente raz secundario.
Asigne SW-1 como el puente de raz secundario utilizando el comando secundario raz vlan
1 del rbol de expansin.
SW-1(config)# spanning-tree vlan 1 root secondary
Paso 4: Verificar la configuracin del spanning-tree.

Emita el comando show spanning-tree para verificar que Central es el puente raz.
Cul es el puente raz actual? Central
Parte 2: Proteger contra los ataques de STP

Asegurar los parmetros STP para evitar ataques de manipulacin STP
Paso 1: Habilitar PortFast en todos los puertos de acceso.
PortFast est configurado en puertos de acceso que se conectan a una nica estacin de
trabajo o servidor para permitirles activarse ms rpidamente. En los puertos de acceso
conectados de SW-A y SW-B, utilice el rbol de expansin
SW-A(config)# interface range fastethernet 0/1 - 4
SW-A(config-if-range)# spanning-tree portfast
SW-B(config)# interface range fastethernet 0/1 - 4
SW-B(config-if-range)# spanning-tree portfast
Paso 2: habilite la proteccin BPDU en todos los puertos de acceso.

El protector BPDU es una funcin que puede ayudar a prevenir los conmutadores
deshonestos y la suplantacin de identidad en los puertos de acceso. Habilitar BPDU guardia
en los puertos de acceso SW-A y SW-B.
SW-A(config)# interface range fastethernet 0/1 - 4
SW-A(config-if-range)# spanning-tree bpduguard enable
SW-B(config)# interface range fastethernet 0/1 - 4
SW-B(config-if-range)# spanning-tree bpduguard enable
Nota: El protector BPDU de rbol extensible puede habilitarse en cada puerto individual
usando el rbol de expansin Bpduguard habilita el comando en el modo de configuracin
de la interfaz o el almacn de rbol de expansin bpduguard Comando predeterminado en el
modo de configuracin global. Para fines de calificacin en esta actividad, utilice el
Spanning-tree bpduguard habilitar el comando.
Paso 3: Habilitar el protector de raz.
El protector de raz se puede habilitar en todos los puertos de un switch que no sean puertos
raz. Es mejor implementar en puertos que Conctese a otros conmutadores no root. Utilice
el comando show spanning-tree para determinar la ubicacin de la Root en cada switch.
En SW-1, active el protector de raz en los puertos Fa0 / 23 y Fa0 / 24. En SW-2, active el
protector de raz en los puertos Fa0 / 23 y Fa0 / 24.
SW-1(config)# interface range fa0/23 - 24
SW-1(config-if-range)# spanning-tree guard root
SW-2(config)# interface range fa0/23 - 24
SW-2(config-if-range)# spanning-tree guard root
Parte 3: Habilitar el control de tormentas

Paso 1: Habilite el control de tormentas para transmisiones.
a. Habilite el control de tormentas para transmisiones en todos los puertos conectando
interruptores (puertos troncales).
b. Habilitar el control de tormentas en las interfaces que conectan Central, SW-1 y SW-2.
Establecer un 50 por ciento de aumento. Usando el comando storm-control broadcast.
SW-1(config)# interface range gi1/1 , fa0/1 , fa0/23 - 24
SW-1(config-if)# storm-control broadcast level 50
SW-2(config)# interface range gi1/1 , fa0/1 , fa0/23 - 24
SW-2(config-if)# storm-control broadcast level 50
Central(config-if)# interface range gi0/1 , gi0/2 , fa0/1
Central(config-if)# storm-control broadcast level 50
Paso 2: Verificar la configuracin del control de tormenta.

Compruebe su configuracin con los comandos show storm-control broadcast y show run.
Parte 4: Configurar la seguridad del puerto e inhabilitar los puertos no utilizados

Paso 1: Configure la seguridad bsica del puerto en todos los puertos conectados a los
dispositivos host.
Este procedimiento se debe realizar en todos los puertos de acceso en SW-A y SW-B.
Establezca el nmero mximo de aprendi la direccin MAC a 2, permite que la direccin
MAC se aprenda dinmicamente y defina la infraccin como apagar.
Nota: Un puerto de conmutacin debe configurarse como un puerto de acceso para habilitar
la seguridad del puerto.
SW-A(config)# interface range fa0/1 - 22
SW-A(config-if-range)# switchport mode access
SW-A(config-if-range)# switchport port-security
SW-A(config-if-range)# switchport port-security maximum 2
SW-A(config-if-range)# switchport port-security violation shutdown
SW-A(config-if-range)# switchport port-security mac-address sticky
SW-B(config)# interface range fa0/1 - 22
SW-B(config-if-range)# switchport mode access
SW-B(config-if-range)# switchport port-security
SW-B(config-if-range)# switchport port-security maximum 2
SW-B(config-if-range)# switchport port-security violation shutdown
SW-B(config-if-range)# switchport port-security mac-address sticky
Por qu no desea habilitar la seguridad de puertos en puertos conectados a otros switches o
enrutadores?
Los puertos conectados a otros switches tienen muchas direcciones mac asimiladas para ese
puerto limitando de esa manera el nmero de direcciones mac que puede aprender este. Esto
puede desembocar en un impacto en la funcionalidad de la red.
Paso 2: Verificar la seguridad del puerto.
En SW-A, emita el comando show port-security interface fa0 / 1 para verificar que la
seguridad del puerto ha sido Configurado.
Paso 3: Deshabilitar puertos no utilizados.

Deshabilite todos los puertos que no se utilizan actualmente.
SW-A(config)# interface range fa0/5 - 22
SW-A(config-if-range)# shutdown
SW-B(config)# interface range fa0/5 - 22
SW-B(config-if-range)# shutdown
Paso 4: Comprobar los resultados.

Su porcentaje de finalizacin debe ser del 100%. Haga clic en Comprobar resultados para ver
la retroalimentacin y la verificacin de qu se han completado los componentes requeridos.
6.5.1.3 Packet Tracer - Layer 2 VLAN Security
Topologa
Objetivos
Conectar un nuevo enlace redundante entre SW1 y SW2.
Habilitar el enlace troncal y configurar la seguridad en el nuevo enlace troncal entre
SW-1 y SW-2.
Crear una nueva VLAN de administracin (VLAN 20) y conectar un PC de gestin
de esa VLAN.
Implementar una ACL para evitar que usuarios externos tengan acceso a la VLAN de
administracin.
Antecedentes / Escenario
La red de una empresa est configurado actualmente utilizando dos VLAN separadas: 5 de
VLAN y VLAN 10. Adems, todos los puertos troncales estn configurados con VLAN
nativa 15. Un administrador de red desea aadir un enlace redundante entre el interruptor
SW-1 y SW-2. El enlace debe haber habilitado enlaces troncales y todos los requisitos de
seguridad deben estar en su lugar.
Adems, el administrador de red desea conectar un PC de gestin para cambiar SW-A. El
administrador le gustara permitir que el PC de gestin para poder conectarse a todos los
interruptores y el router, pero no quiere que ningn otro dispositivo para conectarse a la PC
de gestin o los interruptores. El administrador le gustara crear una nueva VLAN 20 con
fines de gestin.
Todos los dispositivos han sido pre configurado con:
Enable secret password: ciscoenpa55

Console password: ciscoconpa55
VTY line password: ciscovtypa55
Parte 1: Verificar la conectividad

Paso 1: Verificar la conectividad entre C2 (VLAN 10) y C3 (VLAN 10).
Paso 2: Verificar la conectividad entre C2 (VLAN 10) y D1 (VLAN 5).
Nota: Si se utiliza la interfaz grfica de usuario sencilla de paquetes PDU, asegrese de ping
a dos veces para permitir la ARP.
Parte 2: crear un enlace redundante entre SW-1 y SW-2

Paso 1: Conectar SW-1 y SW-2.
El uso de un cable cruzado, conectar el puerto Fa0 / 23 en SW-1 a la Parte Fa0 / 23 en SW-
2.
Paso 2: Habilitar el enlace troncal, incluyendo todos los mecanismos de seguridad del tronco
sobre el vnculo entre SW-1 y SW-2.
Trunking ya se ha configurado en todas las interfaces troncales preexistentes. El nuevo enlace

debe configurarse para concentracin de enlaces, incluyendo todos los mecanismos de
seguridad tronco. Por tanto SW-1 y SW-2, configure el puerto en el tronco, asignar VLAN
nativa 15 al puerto de enlace troncal, y desactivar la negociacin automtica.
SW-1(config)# interface fa0/23
SW-1(config-if)# switchport mode trunk
SW-1(config-if)# switchport trunk native vlan 15
SW-1(config-if)# switchport nonegotiate
SW-1(config-if)# no shutdown
SW-2(config)# interface fa0/23
SW-2(config-if)# switchport mode trunk
SW-2(config-if)# switchport trunk native vlan 15
SW-2(config-if)# switchport nonegotiate
SW-2(config-if)# no shutdown
Parte 3: Habilitar la VLAN 20 como VLAN de administracin

El administrador de red desea acceder a todos los dispositivos de conmutacin y enrutamiento
utilizando un PC de gestin. Para mayor seguridad, el administrador quiere asegurarse de que
todos los dispositivos administrados estn en una VLAN separada.
Paso 1: Habilitar una VLAN de administracin (VLAN 20) en SW-A.
a. Enable VLAN 20 on SW-A.
SW-A(config)# vlan 20
SW-A(config-vlan)# exit
b. Crear una interfaz VLAN 20 y asignar una direccin IP dentro de la red

192.168.20.0/24.
SW-A(config)# interface vlan 20

SW-A(config-if)# ip address 192.168.20.1 255.255.255.0
Paso 2: Habilitar la misma VLAN de administracin en todos los dems interruptores.

a. Crear la VLAN de administracin en todos los switches: SW-B, SW-1, SW-2, y centrales.
SW-B(config)# vlan 20
SW-B(config-vlan)# exit
SW-1(config)# vlan 20
SW-1(config-vlan)# exit
SW-2(config)# vlan 20
SW-2(config-vlan)# exit
Central(config)# vlan 20
Central(config-vlan)# exit
b. Crear una interfaz VLAN 20 en todos los switches y asignar una direccin IP dentro de la
red 192.168.20.0/24.
SW-B(config)# interface vlan 20
SW-B(config-if)# ip address 192.168.20.2 255.255.255.0
SW-1(config)# interface vlan 20
SW-1(config-if)# ip address 192.168.20.3 255.255.255.0
SW-2(config)# interface vlan 20
SW-2(config-if)# ip address 192.168.20.4 255.255.255.0
Central(config)# interface vlan 20
Central(config-if)# ip address 192.168.20.5 255.255.255.0
Paso 3: Configurar el PC de gestin y conectarlo a SW-Un puerto Fa0 / 1.

Asegrese de que el PC de gestin se le asigna una direccin IP dentro de la red
192.168.20.0/24. Conectar el PC de gestin a SW-Un puerto Fa0 / 1.
Paso 4: El SW-A, asegurar la PC de gestin es parte de la VLAN 20.

Interfaz Fa0 / 1 debe ser parte de la VLAN 20.
SW-A (config) # interface Fa0 / 1
SW-A (config-if) # switchport acceso VLAN 20
SW-A (config-if) # no shutdown
Paso 5: Verificar la conectividad de la PC de gestin a todos los interruptores.

El PC de gestin debe ser capaz de hacer ping SW-A, SW-B, SW-1, SW-2, y central.
Parte 4: Habilitar el PC de administracin tengan acceso router R1

Paso 1: Activar una nueva subinterfaz en el router R1
a. Crear subinterfaz Fa0 / 0.3 y configurar la encapsulacin de dot1q 20 para dar cuenta
de la VLAN 20.
R1(config)# interface fa0/0.3
R1(config-subif)# encapsulation dot1q 20
b. Asignar una direccin IP dentro de la red 192.168.20.0/24.
R1(config-subif)# ip address 192.168.20.100 255.255.255.0
Paso 2: Verificar la conectividad entre el PC de gestin y R1.

Asegrese de configurar la puerta de enlace predeterminada en el equipo de gestin para
permitir la conectividad.
Paso 3: Habilitacin de la seguridad.

Mientras que el PC de gestin debe ser capaz de acceder al router, ningn otro PC debe ser
capaz de acceder a la VLAN de administracin.
a. Crear una ACL que niega cualquier red de acceso a la red 192.168.20.0/24, pero
permite que todas las dems redes para acceder a los otros.
R1(config)# access-list 101 deny ip any 192.168.20.0 0.0.0.255
R1(config)# access-list 101 permit ip any any
b. Apply the ACL to the proper interface(s).
R1(config-subif)# ip access-group 101 in
R1(config-subif)# interface fa0/0.2
R1(config-subif)# ip access-group 101 in
Paso 4: Verificar la seguridad.

Desde el PC de gestin, mesa de ping-AT SW, SW-B, y R1. Los pings xito? Explique
R: // Los pings deberan haber tenido xito porque todos los dispositivos dentro de la red
192.168.20.0 deben poder hacer ping entre s. Dispositivos dentro VLAN20 no se requiere
que la ruta a travs del router.
De D1, ping en el PC de gestin. Los pings xito? Explique

R: // El ping debe haber fallado. Esto se debe a que para que un dispositivo dentro de una
VLAN diferente para hacer ping con xito un dispositivo dentro de VLAN20, debe ser en
caminada. El router tiene una ACL que impide que todos los paquetes de acceso a la red
192.168.20.0.
Paso 5: Verificar los resultados.

Su porcentaje de finalizacin debe ser del 100%. Haga clic en Verificar resultados para ver
informacin y verificacin de qu componentes requeridos se han completado.
Si todos los componentes parecen ser correcta y la actividad sigue mostrando incompleta,
podra ser debido a las pruebas de conectividad que verifican el funcionamiento del LCA
CONCLUSION
Se establecio por medio del anterior trabajo, el entendimiento por parte del estudiante de los
temas a tratar por la unidad 2, que comprende switching, routing, enrutamiento entre VLANS
y estatico, todo esto encaminado a la resolucion de problemas especificos planteados por el
curso CCNA2.
Dentro de los objetivos alcanzados en el trabajo, se comprenden los siguientes:
Como grupo, elaborando los ejercicios propuestos para el trabajo colaborativo 3 se
consigue formar un conocimiento mas afianzado sobre Configuracin de Sistemas de
red soportados en VLANs.
Logramos introducirnos y configurar redes con las siguientes especificaciones: redes
conmutadas, Configuracin y conceptos bsicos de Switching, VLANs, Conceptos
de Routing, Enrutamiento entre VLANs, Enrutamiento Esttico.
Cada intergrante de nuestro grupo colaborativo se encuentra en capacidad de
Configurar, verificar y resolver problemas de las VLAN, los enlaces troncales de los
switches Cisco, el enrutamiento entre VLAN, VTP y RSTP.
BIBLIOGRAFA
Guas de Packet tracer, capitulos del 1 al 6 del curso CCNA 2. Disponibles en https://static-
course-assets.s3.amazonaws.com/RSE503/es/index.html

Grupo21 Tarea3

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Grupo21 Tarea3

Cargado por

Copyright:

Formatos disponibles

ACTIVIDAD COLABORATIVA TRES

Curso: Diplomado de Profundizacin Cisco

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

El presente documento tiene como propsito el desarrollo de la Actividad Colaborativa tres

Las competencias a desarrollar con la realizacin de la presente actividad, son: Configurar,

Desarrollar las actividades correspondientes al trabajo colaborativo tres del diplomado de

3. Realizar los ejercicios haciendo uso de la herramienta de Simulacin PACKET

2.1.1.6 Prctica de laboratorio: configuracin de los parmetros bsicos de un switch

Parte 1. tender el cableado de red y verificar la configuracin predeterminada del switch:

Paso 1. realizar el cableado de red tal como se muestra en la topologa.

Paso 2. Verificar la configuracin predeterminada del switch.

Observe que el indicador cambia en la configuracin para reflejar el modo EXEC

c. Examine el archivo de configuracin de inicio en la NVRAM.

Por qu aparece este mensaje? El archivo de configuracin no se guard en la

Hay alguna direccin IP asignada a la VLAN 1? No

e. Examine las propiedades IP de la VLAN 1 SVI.

g. Examine la informacin de la versin del IOS de Cisco del switch.

Cul es la versin del IOS de Cisco que est ejecutando el switch?

Cul es el nombre del archivo de imagen del sistema?

Cul es la direccin MAC base de este switch? Las respuestas varan.

h. Examine las propiedades predeterminadas de la interfaz FastEthernet que usa la PC-

La interfaz est activa o desactivada?

Qu hara que una interfaz se active?

Cul es la direccin MAC de la interfaz?

i. Examine la configuracin VLAN predeterminada del switch.

Cul es el nombre predeterminado de la VLAN 1? default

j. Examine la memoria flash.

Parte 2 configurar los parmetros bsicos de los dispositivos de red:

k. Si se parte de la suposicin de que el switch no tena ningn archivo de configuracin

VLAN Name Status Ports

w. Configure el Gateway IP predeterminado para el S1. Si no se estableci ningn

Por qu se requiere el comando login?

Paso 2 configurar una direccin IP en la PC-A.

1) Haga clic en el cono Inicio de Windows > Panel de control.

Parte 3 verificar y probar la conectividad de red

Aqu se muestra un ejemplo de configuracin. Los parmetros que configur estn

Current configuration : 2206 bytes

Paso 2 probar la conectividad de extremo a extremo con ping.

Paso 4. guardar el archivo de configuracin en ejecucin del switch.

Parte 4 Administrar la tabla de direcciones MAC

Paso 2 Determine las direcciones MAC que el switch ha aprendido.

Paso 3 enumerar las opciones del comando show mac address-table.

Paso 4 Configure una direccin MAC esttica.

Verifique que la tabla de direcciones MAC se haya eliminado.

Cuntas direcciones dinmicas hay?

Por qu cambi esto desde la ltima visualizacin?

Si el S1 an no volvi a detectar la direccin MAC de la PC-A, haga ping a la

Configure una direccin MAC esttica.

Elimine la entrada de MAC esttica. Ingrese al modo de configuracin global y

Verifique que la direccin MAC esttica se haya borrado.

2. Para qu se debe cambiar la VLAN 1 predeterminada a un nmero de VLAN diferente?

2.2.4.9 Packet Tracer: configuracin de seguridad de puertos de switch

Parte 1: Configurar la seguridad del puerto

a. Acceda a la lnea de comandos del S1 y habilite la seguridad de puertos en Fast Ethernet

Parte 2: Verificar la seguridad de puerto

a. En la PC1, haga ping a la PC2.

c. Conecte la Computadora porttil maliciosa a cualquier puerto de switch no utilizado y

f. Muestre las infracciones de seguridad de puertos correspondientes al puerto al que est

Parte 1. establecer la topologa e inicializar los dispositivos

Paso 1. realizar el cableado de red tal como se muestra en la topologa.

Parte 2. configurar los parmetros bsicos de los dispositivos y verificar la conectividad

Paso 1. configurar una direccin IP en la PC-A.

Paso 2. configurar los parmetros bsicos en el R1.